Hmm, ich will hier nicht unsanft klingen, aber waere es evtl. moeglich, dass die Editoren beim erstmaligen Kontroll-Durchlesen aller News ein bisschen sorgfaeltiger zu Werke gehen? Eine Vielzahl von Artikeln auf p-l findet sich 2mal in meinem Feed-Reader, weil (so zumindest mein subjektiver Eindruck; Statistik kann ich keine vorlegen) meistens irgendeine Kleinigkeit geaendert wird. Das nervt.
>>>Server jedoch noch eine Weile im Netz stehen, obgleich bereits am Anfang die Forderung geäußert wurde diese abzuschalten. Dies ist nun Anfang der Woche geschehen.
Aus dem Bugzilla Eintrag geht aber hervor, dass die Server sofort abgeschalten wurden, habt ihr da noch ne andere Quelle? Bei Bugzilla steht reported am 7.8. und Server offline genommen am 7.8.
1. Ubuntu Community Server gehackt 2. Gentoo Server vorsichtshalber vom Netz genommen 3. Skype fällt auf der ganzen Welt aus (wahrscheinlich wegen Microsoft Patch Day und einer gepatchten Lücke im TCP/IP-Stack die Skype-Clients Amok laufen ließ)
Der Monat könnte, wenn noch mehr kommt in die Geschichte eingehen...
Ich frage mich auch woher diese Information kommt. Die Server waren schon letzte Woche Offline, und nicht erst seit Anfang dieser Woche. Ich weiss noch wie ich mich schon anfang letzte Woche gewundert hatte, warum packages.gentoo.org nicht mehr lief.
Von professioneller Linux-User am Fr, 17. August 2007 um 13:17 #
Da ihr ja immer so gerne auf Windows rumhackt... Wie kann man nach dieser Nachricht noch guten Gewissens einen Linux-Server verwenden? Absolut kein Sicherheitsbewußtsein bei den Leuten hier... unverantwortlich
Naja... also wenn bei Microsoft irgendein Server geknackt wird... wird das normalerweise bestimmt so gut wie möglich vertuscht... Bei Linux sieht das anders aus. Hier werden Informationen ausgetauscht und so auch jeder auf das Thema Sicherheit hoffentlich ein wenig sensibilisiert...
Genau, hast vollkommen recht wir schalten jetzt gleichzeit alle Linux Router, Server, Desktops und so weiter ab... nur damit du merkst das du vermutlich nichtmal ohne Linux ins Internet kommst wiel du vielleicht nen Linux Router hast...
Von Windowssucks am Fr, 17. August 2007 um 14:05 #
Gerade deswegen sollte man Linux nehmen. Es wurde sofort auf eine Lücke reagiert bevor etwas passierte, es wurde offen darüber gesprochen. Ich würde sagen das Verhalten war vorbildlich.
Bei closed source wird sowas eben nicht offen diskutiert und da werden auch server nicht einfach abgeschaltet, man vertraut da drauf, dass es neimandem auffällt, bis ein Problem behoben wird. Das ist bei MS und allen Firmen so und ich würde es wahrscheinlich genauso machen, wenn ich Kohle zu verlieren hätte. Für den Kunden/User ist das aber nicht die beste Lösung.
Du musst dir nur mal die Akku Misere bei Sony angucken, oder das XBOX Problem bei Microsoft, es wurde lange abgestritten, dass die Box Designfehler hat, nun erst hat man zugegeben, dass es tatsächlich so ist.
OMG ! Wenn ich das schon wieder höre von wegen Linux und Sicherheit... Von Sicherheit und Exploits scheinst du wohl recht wenig Ahnung zu haben bzw. kennst du den Grund nicht wegen dem der Server momentan Offline ist. Es handelte sich dabei um eine Lücke auf der speziellen Seite selbst die mit Python arbeitet. Durch die Lücke konnte man über Python Code ausführen. Das hat somit mit Linux generell absolut nix zu tun sondern vielmehr mit der Programmierung der Seite. Gut dass du (hoffentlich) nicht für Server Sicherheit verantwortlich bist.
Ohne das ich mich hier auf eine selten dämliche Windows-ist-so-sicher Seite schlagen wollen würde, es gibt aber durchaus zu denken, dass dies nicht das 1. mal ist, dass ein Update-Server eine Distro zum Sicherheitsproblem wurde.
Wobei ich auch denke, dass ein solches Problem bei Microsoft (und fast allen anderen Firmen!) verschwiegen worden wäre. Wie sieht es eigentlich bei den üblichen Linux-Distros heute bzgl. Checksummen aus? Ich bin etwas raus aus der Materie und habe aktuell selbst keinen Überblick.
>>>Wobei ich auch denke, dass ein solches Problem bei Microsoft (und fast allen anderen Firmen!) verschwiegen worden wäre
Microsoft hatte doch selbst schon ein viel schlimmeres Problem, vor Jahren hatten Cracker Zugang zum Windowsquellcode, über einen Trojaner der bei MS eingeschleust wurde, es hies damals, dass keine Manipulationen am Quellcode stattgefunden haben. Shwierig für jemanden das nachzuprüfen. Im Falle des Linuxkernels wäre das relativ leicht, da viele Kopien des Quellcodes rumliegen und man dann gegen checken kann.
>>Wie sieht es eigentlich bei den üblichen Linux-Distros heute bzgl. Checksummen aus?
Überall gleich, du bekommst bei der Installation den GPG Key mitgeliefert, der Paketmanager checkt jedes heruntergeladenen Paket mit diesm Key, also wenn dann musst du nen Entwicklunsgrechner kapern, Pakete manipulieren dann mit dem Key signieren.
> Die Administratoren der Gentoo-Distribution haben zahlreiche Server vom Netz genommen, um einer möglichen Kompromittierung des Systems zu entgehen.
Falsch, es wurde genau ein Server vorsorglich vom Netz genommen, auf dem eben mehrere Dienste (u. a. packages.gentoo.org) gehostet wurden. Bitte lest wenigstens die Meldungen, auf die ihr euch bezieht...
Zur Klarstellung: 1.) es wurde nur EIN Server abgeschaltet, nicht mehrere. Verwundbar war packages.gentoo.org, alle anderen Services wurden aber auf demselben Server gehostet. 2.) der Server wurde sofort offline genommen, aber die Bearbeitung des Fehlers hat ein paar Tage gedauert, außerdem wurde die News erst später veröffentlicht. 3.) Wer überprüft hier Meldungen überhaupt?
gentoo-wiki.com ist auf dem gleichen System wie gentoo-portage.com gehostet, welcher dem derzeitigen Ansturm (durch Ausfall von packages.gentoo.org) nicht gewachsen ist.
Die BSD-Fritzen behaupten etwas ganz anderes: https://forum.bsdgroup.de/showthread.php?p=3455 Vermutlich um von der schwäche des eigenen Systems abzulenken.
die können behaupten, was sie wollen. Daß der service seit 10 Tagen nicht mehr geht - und einige Tage später in der ml auch geschrieben wurde, daß der server down ist, ist einfach Fakt.
Wenn du in dem Forum einen account hast, kannst du es ja gern klarstellen.
>>>Welches Packet verursacht die Sicherheitslücke?
Wie wärs mal mit Lesen?
Es ist ein Paket, dass du nicht emergen kannst, da es hier um die Anwendung geht die die Webübersicht der Portage Paketliste erstellt, siehe Online Package Database.
nix für ungut....
Aus dem Bugzilla Eintrag geht aber hervor, dass die Server sofort abgeschalten wurden, habt ihr da noch ne andere Quelle?
Bei Bugzilla steht reported am 7.8. und Server offline genommen am 7.8.
2. Gentoo Server vorsichtshalber vom Netz genommen
3. Skype fällt auf der ganzen Welt aus
(wahrscheinlich wegen Microsoft Patch Day und einer gepatchten Lücke im TCP/IP-Stack die Skype-Clients Amok laufen ließ)
Der Monat könnte, wenn noch mehr kommt in die Geschichte eingehen...
Die Server waren schon letzte Woche Offline, und nicht erst seit Anfang dieser Woche. Ich weiss noch wie ich mich schon anfang letzte Woche gewundert hatte, warum packages.gentoo.org nicht mehr lief.
Gruß,
demon
Wie kann man nach dieser Nachricht noch guten Gewissens einen Linux-Server verwenden?
Absolut kein Sicherheitsbewußtsein bei den Leuten hier... unverantwortlich
Genau, hast vollkommen recht wir schalten jetzt gleichzeit alle Linux Router, Server, Desktops und so weiter ab... nur damit du merkst das du vermutlich nichtmal ohne Linux ins Internet kommst wiel du vielleicht nen Linux Router hast...
IRONIE ENDE
mfg Betz Stefan
Bei closed source wird sowas eben nicht offen diskutiert und da werden auch server nicht einfach abgeschaltet, man vertraut da drauf, dass es neimandem auffällt, bis ein Problem behoben wird. Das ist bei MS und allen Firmen so und ich würde es wahrscheinlich genauso machen, wenn ich Kohle zu verlieren hätte. Für den Kunden/User ist das aber nicht die beste Lösung.
Du musst dir nur mal die Akku Misere bei Sony angucken, oder das XBOX Problem bei Microsoft, es wurde lange abgestritten, dass die Box Designfehler hat, nun erst hat man zugegeben, dass es tatsächlich so ist.
Also erzähl uns nix von wegen Windows.
Von Sicherheit und Exploits scheinst du wohl recht wenig Ahnung zu haben bzw. kennst du den Grund nicht wegen dem der Server momentan Offline ist.
Es handelte sich dabei um eine Lücke auf der speziellen Seite selbst die mit Python arbeitet. Durch die Lücke konnte man über Python Code ausführen. Das hat somit mit Linux generell absolut nix zu tun sondern vielmehr mit der Programmierung der Seite.
Gut dass du (hoffentlich) nicht für Server Sicherheit verantwortlich bist.
Wobei ich auch denke, dass ein solches Problem bei Microsoft (und fast allen anderen Firmen!) verschwiegen worden wäre. Wie sieht es eigentlich bei den üblichen Linux-Distros heute bzgl. Checksummen aus? Ich bin etwas raus aus der Materie und habe aktuell selbst keinen Überblick.
Microsoft hatte doch selbst schon ein viel schlimmeres Problem, vor Jahren hatten Cracker Zugang zum Windowsquellcode, über einen Trojaner der bei MS eingeschleust wurde, es hies damals, dass keine Manipulationen am Quellcode stattgefunden haben. Shwierig für jemanden das nachzuprüfen. Im Falle des Linuxkernels wäre das relativ leicht, da viele Kopien des Quellcodes rumliegen und man dann gegen checken kann.
>>Wie sieht es eigentlich bei den üblichen Linux-Distros heute bzgl. Checksummen aus?
Überall gleich, du bekommst bei der Installation den GPG Key mitgeliefert, der Paketmanager checkt jedes heruntergeladenen Paket mit diesm Key, also wenn dann musst du nen Entwicklunsgrechner kapern, Pakete manipulieren dann mit dem Key signieren.
ES IST KEIN UPDATE SERVER BETROFFEN!
Der server hat nur ein paar Infos zu Packeten angezeigt. Das war alles. Mit dem portage-tree hat das Ding gar nichts zu tun!
Die Gefahr für irgendwelche Nutzer war also bei NULL.
Mensch, haben dir deine Eltern gar nichts beigebracht?
weiss jemand, warum die alternative http://www.gentoo-portage.com auch down ist?
Vor 2-3 Tagen lief das noch.
http://amirouche.alwaysdata.net/
"ebuildfind"
es sucht wohl in allen "overlays"
viel spaß beim suchen
Falsch, es wurde genau ein Server vorsorglich vom Netz genommen, auf dem eben mehrere Dienste (u. a. packages.gentoo.org) gehostet wurden. Bitte lest wenigstens die Meldungen, auf die ihr euch bezieht...
1.) es wurde nur EIN Server abgeschaltet, nicht mehrere. Verwundbar war packages.gentoo.org, alle anderen Services wurden aber auf demselben Server gehostet.
2.) der Server wurde sofort offline genommen, aber die Bearbeitung des Fehlers hat ein paar Tage gedauert, außerdem wurde die News erst später veröffentlicht.
3.) Wer überprüft hier Meldungen überhaupt?
Christian Faulhammer, Gentoo-Entwickler
https://forum.bsdgroup.de/showthread.php?p=3455
Vermutlich um von der schwäche des eigenen Systems abzulenken.
Wenn du in dem Forum einen account hast, kannst du es ja gern klarstellen.
Wie wärs mal mit Lesen?
Es ist ein Paket, dass du nicht emergen kannst, da es hier um die Anwendung geht die die Webübersicht der Portage Paketliste erstellt, siehe Online Package Database.