Und wann kriegen die bei SuSE dass mit und vorallendingen wann providen die ein RPM der neuen Version? Nicht mal Advisory gibt es bei denen bis jetzt....
Bis dato hat noch kein Distributor neue Packages bereitgestellt. Und als guter Systemadministrator liest du ja sicher auch andere Advisories, z.B. jene von CERT, oder?
... Im Moment lese ich die allgemeinen Advisories von cert.org im Push-Verfahren (Mail) und jene von http://www.linuxsecurity.com/ im Pull-Verfahren (Website) sowie die Security-Mailinglisten meiner "Vendors" (SuSE und Solaris).
Welche Advisories lest ihr und welche sind für euch unabdingbar? Würde mich interessieren.
Das dauert, wie sie gerade Lust haben, aber weil es ein Security Update ist, könnte es schnell gehen. Die sollten endlich mal GNOME/GTK und Mozilla aktualisieren. Außerdem: Ich habe gehört, Mozilla hat Probleme mit Proxies in bestimmten Fällen, das wäre genau mein Problem.
RedHat hat auch noch nichts, also nicht schimpfen. Ausserdem ist es _mir_ lieber, wenn die nicht nur rasch ein RPM zusammenbasteln, sondern auch gleich noch ein paar Testlaeufe machen.
...Zeit für eine Behebung des Problems zu geben. Üblicherweise werden hierfür mindestens 4 Wochen vorgesehen.
Wer sieht hier wo "üblicherweise" vier Wochen vor? Microsoft?
PL, bitte nicht mit zweierlei Maß messen. Als MS vorschlug, Sicherheitslücken erst an MS zu melden, damit sie in aller Ruhe Updates herausbringen konnten, war das "böse".
Wenn eine OS-unfreundliceh Firma jetzt ein Advisory ohne Vorwahnung frei gibt, werden gleich mindestens vier Wochen gefordert.
Was war denn der Effekt dieses frühen Advisories? - Schon heute steht eine funktionierende(!) gepatchte Version von Apache bereit. - Die Apache Entwickler regen sich natürlich auf, daß sie schnell arbeiten mussten (noch dazu bei dem schönen Wetter ). - Alle Admins wissen, daß sie spätestens morgen den neuen Apache installieren sollten und in der Zwischenzeit über besondere Maßnamen nachdenken können.
*Das* ist mir sehr viel lieber, als daß die nächsten vier Wochen lang diverse Exploits kursieren, auf die keiner vorbereitet ist, da die Apache Entwickler keinen wirklichen Druck haben, sofort ein Update herauszubringen.
Daß es sinnvoll gewesen wäre, Apache.org einige wenige, vorher genau festgelegte Tage Zeit zu geben, so daß mit dem Advisory gleich ein sauberer Patch veröffentlicht werden könnte, steht außer Frage.
Aber auf so eine Aktion alla "mind.4Wochen", wie es auch schon bei WuFTP mit bekanntem Misserfolg praktiziert worden ist, habe ich absolut keine Lust.
Lasst der Open Sourc doch ihren Vorteil der schnellen Reaktionszeit!
Nein, das war nicht böse. Sicher werden MS-Vorschläge hier wohl eher nicht positiv aufgenommen, aber das ist eine der harmloseren Meldungen von MS gewesen. Lediglich die Schuldzuweisung, dass die, die diese Bugs aufdecken, für die Virenplage verantwortlich sind, wird kritisiert.
MS fordert 30 Tage _nach dem Patch_, (also nach dem Sankt Nimmerleinstag) das ist das Problem. 2 Stunden ist schlichtweg eine Frechheit! Meiner Meinung nach ist das beste, wenn man eine Woche wartet (oder eben bis der Patch fertig ist). Was nutzt es einem Admin, wenn er 2 Stunden nach apache.org weiß, das da ein Loch ist und damit auch weiß, dass jetzt die Kiddies loslegen? Soll er jetzt seinen Server abstellen? Sicherlich wissen die richtigen Hacker (die aber idr. keinen Bock haben damit Schaden anzurichten) auch recht schnell auf anderen Wegen, wenn da irgendwo ein Loch ist, aber die Script-Kiddies merken es vorher nicht.
Schnelle Reaktionszeit ist natuerlich ein OSS - Vorteil. Trotzdem sollte man (groessenteils freiwillige) Programmierer nicht unter Zeitdruck setzen. Das haettest du bestimmt auch nicht gerne!
Wer arbeitet nicht unter Zeitdruck heutzutage (bist du Student?). Nur weil manche von den Produktiven das Programm, an dem sie werkeln, mehr oder weniger als Hobby auffassen, heißt das noch lange nicht, daß man sie in Watte packen muß. Ansonsten Umsteigen auf die Konkurrenz - die gibts ja auch noch. Es ist im Interesse des Kunden, das der Hersteller schnell auf Sicherheitslücken reagiert. Das sollte der Kunde bei der Anschaffung berücksichtigen, auch wenn es ein OS-Produkt ist.
Nur sollte man (egal, ob MS oder OS) auch den Leuten Zeit fuer einen Fix geben, bevor man eine Luecke veroeffentlicht. Eine Information zwei Stunden vor der Veroeffentlichung ist nicht nur unverantwortlich, sondern einfach nur verlogen und ein Patch innerhalb der Zeit unmoeglich. Es ist ein Unterschied, ob eine Firma binnen 2 Monaten keinen Patch fuer ein Problem veroeffentlicht, oder ob die Community gewillt ist Patches herzustellen, aber keine Gelegenheit dafuer bekommt. Das war der Fall bei Apache - Eine Sicherheitsluecke zu veroeffentlichen, ohne die Programmierer ausreichend zu informieren und vor allem _Zeit_ gegeben zu haben, ist feige. Keiner Redet hier von zwei Monaten oder Wochen, aber nur ein Tag wuerde fuer einen Fix reichen. Was ist daran so schwer einen Tag zu warten? Luecke melden - einen Tag warten - Meldng veroeffentlichen. So macht es jeder serioese Anbieter und nicht wie ISS einfach eine Meldung absetzen, ohne nur einen Hauch einer Chance den Programmierern fuer einen Fix gegeben zu haben.
"Versions of the Apache web server up to and including 1.3.24 and 2.0 up to and including 2.0.36 contain a bug in the routines which deal with invalid requests which are encoded using chunked encoding."
Users of Apache 1.3 should upgrade to 1.3.26, and users of Apache 2.0 should upgrade to 2.0.39, which contain a fix for this issue. --> Meldung korrekt
Nicht alles, was Heise scheibt ist auch richtig... Vielleicht sollte man es sich auch bei Heise angewoehnen auf die original-Meldungen zu linken. Dort stehen sicherlich mehr infos und auch, dass der Fehler in den neuen Versionen behoben ist.
Welche Advisories lest ihr und welche sind für euch unabdingbar? Würde mich interessieren.
Ich frag mich nur was sie da gefixt haben?
Der fix von ISS ist ja
Die sollten endlich mal GNOME/GTK und Mozilla aktualisieren.
Außerdem: Ich habe gehört, Mozilla hat Probleme mit Proxies in bestimmten Fällen, das wäre genau mein Problem.
Kann man natuerlich sehen wie man will...
Wer sieht hier wo "üblicherweise" vier Wochen vor? Microsoft?
PL, bitte nicht mit zweierlei Maß messen. Als MS vorschlug, Sicherheitslücken erst an MS zu melden, damit sie in aller Ruhe Updates herausbringen konnten, war das "böse".
Wenn eine OS-unfreundliceh Firma jetzt ein Advisory ohne Vorwahnung frei gibt, werden gleich mindestens vier Wochen gefordert.
Was war denn der Effekt dieses frühen Advisories?
- Schon heute steht eine funktionierende(!) gepatchte Version von Apache bereit.
- Die Apache Entwickler regen sich natürlich auf, daß sie schnell arbeiten mussten (noch dazu bei dem schönen Wetter ).
- Alle Admins wissen, daß sie spätestens morgen den neuen Apache installieren sollten und in der Zwischenzeit über besondere Maßnamen nachdenken können.
*Das* ist mir sehr viel lieber, als daß die nächsten vier Wochen lang diverse Exploits kursieren, auf die keiner vorbereitet ist, da die Apache Entwickler keinen wirklichen Druck haben, sofort ein Update herauszubringen.
Daß es sinnvoll gewesen wäre, Apache.org einige wenige, vorher genau festgelegte Tage Zeit zu geben, so daß mit dem Advisory gleich ein sauberer Patch veröffentlicht werden könnte, steht außer Frage.
Aber auf so eine Aktion alla "mind.4Wochen", wie es auch schon bei WuFTP mit bekanntem Misserfolg praktiziert worden ist, habe ich absolut keine Lust.
Lasst der Open Sourc doch ihren Vorteil der schnellen Reaktionszeit!
Lediglich die Schuldzuweisung, dass die, die diese Bugs aufdecken, für die Virenplage verantwortlich sind, wird kritisiert.
Meiner Meinung nach ist das beste, wenn man eine Woche wartet (oder eben bis der Patch fertig ist). Was nutzt es einem Admin, wenn er 2 Stunden nach apache.org weiß, das da ein Loch ist und damit auch weiß, dass jetzt die Kiddies loslegen? Soll er jetzt seinen Server abstellen?
Sicherlich wissen die richtigen Hacker (die aber idr. keinen Bock haben damit Schaden anzurichten) auch recht schnell auf anderen Wegen, wenn da irgendwo ein Loch ist, aber die Script-Kiddies merken es vorher nicht.
Wie ich auch schieb.
(oder eben bis der Patch fertig ist)
dann wartet man meist bis zum St. Nimmerleins Tag.
Nur weil manche von den Produktiven das Programm, an dem sie werkeln, mehr oder weniger als Hobby auffassen, heißt das noch lange nicht, daß man sie in Watte packen muß. Ansonsten Umsteigen auf die Konkurrenz - die gibts ja auch noch.
Es ist im Interesse des Kunden, das der Hersteller schnell auf Sicherheitslücken reagiert. Das sollte der Kunde bei der Anschaffung berücksichtigen, auch wenn es ein OS-Produkt ist.
Richtig
und die neuen Versionen 1.3.24 und 2.0.39 freigegeben.
Falsch. Die enthalten auch das Sicherheitsloch. GGF. bitte in der Meldung korrigieren, da sich sonst manche in trügerischer Sicherheit wiegen könnten.
and including 2.0.36 contain a bug in the routines which deal with invalid
requests which are encoded using chunked encoding."
-> 1.3.24 hat das Loch.
--> Meldung korrekt
Deshalb ist es jetzt auch korrekt, gestern war die Meldung falsch.