>> Weil ein inkompetenter Volltrottel an Quellcode herumschraubt den er nicht versteht. > Das es nur einer ist glaube ich nicht
Vermutlich nicht Bei Debian ist es ja üblich wie blöde an veralteten Versionen rumzupatchen damit ja keiner mehr anhand der installierten Version abschätzen kann ob Sicherheitslücken gefixt sind und man halt irgendwie hofft das alles relevante reingefrickelt wurde.
Das Problem an solchen Backports ist dass sie oft von Leuten gemacht werden die keineswegs an der Software mitentwickeln und sich trotzdem anmassen ihre Internals zu verstehen.
Man sehe sich doch nur die PHP-Versionen an, alleine vom Build-Datum KÖNNEN die gar nicht alle Bugfixes enthalten
> ja auch das habe ich unter meinem Stein mitbekommen und ich Ahnungloser hab den einen Key den ich > habe ausgetauscht.
Ja was fragst du dann so naiv wenn du scheinbar doch weisst wovon ich spreche?
> Wenn du Versteher soviel darüber weißt solltest du die Quellen verbessern. > vll. hast du ja Lust "Autoupdate und gut" zu erklären wie man es besser machen könnte.
Indem man alle Keys neu generiert und auf allen Maschinen wo man jemals welche verwendet hat austauscht - Machen leider die wenigsten, vor allem auf Servern wo man lange nichts mehr zu tun hatte, schön für den einzelnen User, hilft aber dem Admin des Servers wenig wenn seine Kiste deswegen offen steht.
Automatisieren lässt sich das leider nicht 90% der User haben aber nicht genug Hirn um das zu verstehen und verlassen sich halt auf irgendwelche Updates nach dem Motto "Wird schon passen"
Verhindern kann man das nur indem nicht irgendwelche Vollhonks an Programmcode rumpachten den sie nicht verstehen anstatt sich auf Upstream-Patches von Leuten die das Programm auch geschrieben haben zu verlassen
>> Mit ziemlicher Sicherheit der schlimmste Security-GAU der faktisch JEDES Betriebssystem betrifft. > Das Ausmaß ist denke ich den meisten nicht bewusst.
Genau das ist das Problem, die paar wenigen die zumindest ihre eigenen Kisten aktuell halten verstehen zu wenig von der Materie als dass sie ihre Verantwortung auch auf anderen Maschinen wo sie mal den Key hinterlegt haben wahrnehmen würden.
Das Endergebnis des Debilian-Patchens ist dass man sich die nächsten Jahre eigentlich auf https nicht verlassen kann (Schmecks ob das Zertifikat unter Debian generiert wurde) und mit Sicherheit noch tausende Maschinen davon betroffen sind. Woher soll denn ein Admin riechen dass auf seinem BSD, OSX, Fedora-Server irgendwo in einer ".authorized_keys" noch einer der Vollhonk-Distri drinnen steht?
> Das es nur einer ist glaube ich nicht
Vermutlich nicht
Bei Debian ist es ja üblich wie blöde an veralteten Versionen rumzupatchen damit ja keiner mehr anhand der installierten Version abschätzen kann ob Sicherheitslücken gefixt sind und man halt irgendwie hofft das alles relevante reingefrickelt wurde.
Das Problem an solchen Backports ist dass sie oft von Leuten gemacht werden die keineswegs an der Software mitentwickeln und sich trotzdem anmassen ihre Internals zu verstehen.
Man sehe sich doch nur die PHP-Versionen an, alleine vom Build-Datum KÖNNEN die gar nicht alle Bugfixes enthalten
> ja auch das habe ich unter meinem Stein mitbekommen und ich Ahnungloser hab den einen Key den ich
> habe ausgetauscht.
Ja was fragst du dann so naiv wenn du scheinbar doch weisst wovon ich spreche?
> Wenn du Versteher soviel darüber weißt solltest du die Quellen verbessern.
> vll. hast du ja Lust "Autoupdate und gut" zu erklären wie man es besser machen könnte.
Indem man alle Keys neu generiert und auf allen Maschinen wo man jemals welche verwendet hat austauscht - Machen leider die wenigsten, vor allem auf Servern wo man lange nichts mehr zu tun hatte, schön für den einzelnen User, hilft aber dem Admin des Servers wenig wenn seine Kiste deswegen offen steht.
Automatisieren lässt sich das leider nicht
90% der User haben aber nicht genug Hirn um das zu verstehen und verlassen sich halt auf irgendwelche Updates nach dem Motto "Wird schon passen"
Verhindern kann man das nur indem nicht irgendwelche Vollhonks an Programmcode rumpachten den sie nicht verstehen anstatt sich auf Upstream-Patches von Leuten die das Programm auch geschrieben haben zu verlassen
>> Mit ziemlicher Sicherheit der schlimmste Security-GAU der faktisch JEDES Betriebssystem betrifft.
> Das Ausmaß ist denke ich den meisten nicht bewusst.
Genau das ist das Problem, die paar wenigen die zumindest ihre eigenen Kisten aktuell halten verstehen zu wenig von der Materie als dass sie ihre Verantwortung auch auf anderen Maschinen wo sie mal den Key hinterlegt haben wahrnehmen würden.
Das Endergebnis des Debilian-Patchens ist dass man sich die nächsten Jahre eigentlich auf https nicht verlassen kann (Schmecks ob das Zertifikat unter Debian generiert wurde) und mit Sicherheit noch tausende Maschinen davon betroffen sind. Woher soll denn ein Admin riechen dass auf seinem BSD, OSX, Fedora-Server irgendwo in einer ".authorized_keys" noch einer der Vollhonk-Distri drinnen steht?