Red Hat 8.0

Message
Author
ROLUX

Red Hat 8.0

#1 Post by ROLUX »

Hallo zusammen,
auf einem meiner Rechner habe ich w2k runtergeschmissen und RH 8.0 installiert. Ist soweit auch alles OK.
Nur krieg ich jetzt ständig mail von Red Hat:
------------- schnipp ----------

Red Hat Network has determined that the following advisory is applicable to
one or more of the systems you have registered:

Complete information about this errata can be found at the following location:
https://rhn.redhat.com/network/errata/e ... t?eid=1447

Security Advisory - RHSA-2003:017-06
------------------------------------------------------------------------------
Summary:
Updated PHP packages available

Updated PHP packages are available that fix a vulnerability in the
wordwrap() function and a number of compatibility bugs.

Description:
PHP is an HTML-embedded scripting language commonly used with the Apache
HTTP server.

A heap-based buffer overflow was found in the wordwrap() function in PHP
versions after 4.1.2 and before 4.3.0. If wordwrap() is used on
user-supplied input this could allow remote attackers to cause a denial of
service or execute arbitrary code.

Red Hat Linux 8.0 shipped with a version of PHP that was vulnerable to this
issue. Other Red Hat Linux distributions shipped with an earlier version
of PHP and are not vulnerable to this issue.

In addition, a number of compatiblity bugs have also been found between PHP
4.2 and Apache 2.0.

All users of PHP are advised to upgrade to these erratum packages which
contain a patch to correct these issues.

References:
http://marc.theaimsgroup.com/?l=bugtraq ... 2689503192
------------------------------------------------------------------------------

-------------
Taking Action
-------------
You may address the issues outlined in this advisory in two ways:

- select your server name by clicking on its name from the list
available at the following location, and then schedule an
errata update for it:
https://rhn.redhat.com/network/systemli ... m_list.pxt

- run the Update Agent on each affected server.


---------------------------------
Changing Notification Preferences
---------------------------------
To enable/disable your Errata Alert preferences globally please log in to RHN
and navigate from "Your RHN" / "Your Account" to the "Preferences" tab.

URL: https://rhn.redhat.com/network/my_account/my_prefs.pxt

You can also enable/disable notification on a per system basis by selecting an
individual system from the "Systems List". From the individual system view
click the "Details" tab.


----------------
Affected Systems
----------------
According to our records, this errata may apply to one or more of the
systems that you've profiled with Red Hat Network. To see precisely which
systems are affected, please go to:
https://rhn.redhat.com/network/errata/s ... t?eid=1447



The Red Hat Network Team

This message is being sent by Red Hat Network Alert to:
RHN user login: rolix
Email address on file: <rjk@ciscom-cleve.de>

If you lost your RHN password, you can use the information above to
retrieve it by email from the following address:
https://rhn.redhat.com/forgot_password.pxt

To cancel these notices, go to:
https://rhn.redhat.com/oo.pxt?uid=1583558&oid=2142945


------------ schnapp --------------


Was soll denn das? Können die durch 'ne Hintertür auf meinen Rechner? Meine Firewall (iptables) läuft nämlich auch unter RH 8.0 Das ist ja fast wie bei MS.

Weiß jemand, was das sein soll? Ich bin jetzt völlig verunsichert.


rolux

arjo1

Re: Red Hat 8.0

#2 Post by arjo1 »

Du bist anscheinend beim RedHatNetwork angemeldet, und die schicken dir emails damit du weisst für welche Pakete
es Sicherheits-Updates gibt. Du musst allerdings nichts installieren wenn du nicht willst.
Also KEINE PANIK<img src="http://www.pl-forum.de/UltraBoard/Images/Wilk.gif" border="0" align="middle">

Michael S.

Re: Red Hat 8.0

#3 Post by Michael S. »

Dann stell es halt ab. Steht doch sogar am Ende der Nachrichten! Oder Einloggen auf https://rhn.redhat.com und die Optionen anschauen oder den Red Hat Network Service Daemon auf Deinem Rechner abstellen, der periodisch Red Hat Network nach Aufträgen und neuen Paketen abfragt. Als "chkconfig rhnsd off" aufrufen oder redhat-config-services bemühen.

> Können die durch 'ne Hintertür auf meinen Rechner?

Hast Du einen Grund zu dieser Annahme? Ich sehe keinen.

ROLUX

Re: Red Hat 8.0

#4 Post by ROLUX »

Erst mal Danke,
aber von dem RH-Netzwerk will ich ja schon länger nichts mehr wissen. Die haben mir auf meinem Server dreimal die ganze Installation zerschossen. Der ganze sogenannte "Support" bei RedHat ist sowieso Betrug.
Bei dem ersten client habe ich den Schnüffeldienst bei der Installation abgewählt. Wie können die also jetzt in meinem System rumschnüffeln und behaupten, meine Installation sei fehlerhaft? Wenn hier jemand Fehler zu verantworten hat, dann doch wohl RedHat. Aber die reagieren auf keine mail und am Telephon erzählt mir eine Marketingtussi, ich solle mich an RH-Netzwerk wenden. Das aber geht selbst mit korrekten name/pwd nicht. Betrug eben.
Mir gefällt RH 8.0 ja gut, aber Betrug und Festplattenschnüffelei ... Mann, die können einem Linux wirklich verleiden.

rolux

Michael S.

Re: Red Hat 8.0

#5 Post by Michael S. »

> Der ganze sogenannte "Support" bei RedHat ist sowieso Betrug.

Mit solchen Äußerungen solltest Du vorsichtig sein. Dein älterer Thread zum gleichen Thema endete kläglich, waren alles nur haltlose Vorwürfe.


Auf Red Hat Network kannst Du einstellen, ob Du Advisories per Mail erhalten möchtest.

Ist der Red Hat Network Service Daemon (ein CLIENT, kein Server) auf Deinem System deaktiviert, findet auch keine Abfrage Deines RHN Accounts statt. Da liegst Du im Irrtum. Ob Deine Paketliste an RHN gesandt wird, mußt Du explizit erlauben. Vorher findet sowas nicht statt.

Michael S.

Re: Red Hat 8.0

#6 Post by Michael S. »

Ach übrigens, bei Red Hat Network hast Du Dich als "rolix" mit der e-mail Adresse rjk@ciscom-cleve.de registriert. Steht doch oben in der Mail, die Du hier reingestellt hast. Hast Du Dein Paßwort vergessen, kannst Du ein neues anfordern. Steht dort auch:

> This message is being sent by Red Hat Network Alert to:
> RHN user login: rolix
> Email address on file: <rjk@ciscom-cleve.de>
>
> If you lost your RHN password, you can use the information above to
> retrieve it by email from the following address:
> https://rhn.redhat.com/forgot_password.pxt

ROLUX

Re: Red Hat 8.0

#7 Post by ROLUX »

Nachdem mir dieses obskure tool dreimal das System zerschossen hatte, habe ich den Heinis per e-mail klargemacht, daß ich an weiteren Scherzen dieser Art nicht interessiert sei und daß sie mich gefälligst in Ruhe lassen sollen. Dann habe ich zu vierten mal RH8 installiert, allerdings ohne diesen Mist. Seither läuft das System problemfrei als File- und Printserver.
Dann habe ich RH8 auf einem client (ex-w2k) installiert. Ich wollte es noch einmal probieren; der Fehler konnte ja auch bei mir liegen. Also alles "according to the book" gemacht und wieder auf die Schnauze gefallen. Da hatte ich plötzlich keine Berechtigung zu einem Update, obwohl login und pwd stimmen. Zudem war das System anschließend wieder im Eimer, da ging nichts mehr. Keine andere Konsole, rein garnichts. Auch ein runterfahren war nicht mehr möglich, es blieb definitiv nur das physikalische reset. Das neu gestartete System erfreute mit endlosen Pop-Ups von Fehlermeldungen und Anwendungen, die nicht mehr starteten. Die plötzlich vorhandene US-Tastaturbelegung auf der Konsole riß mich zu wahren Begeisterungsstürmen hin.

Wenn das System ja nun tatsächlich so voller Fehler steckt, warum verkaufen die denn solchen Schrott? Wer so etwas macht ist ein Betrüger, oder ist das etwa ein anständiges Geschäftsgebaren?

Ich habe RH8 nun erneut ohne diesen nutzlosen Firlefanz installiert und siehe da, auch auf dem client alles OK. Auch die rätselhaften Festplatten-Aktivitäten treten nicht mehr auf. Aber das wichtigste ist, die können nicht mehr auf meinem System rumschnüffeln. Zusätzlich schickt die firewall alles von RH kommentarlos in's Nirwana.


rolux

Michael S.

Re: Red Hat 8.0

#8 Post by Michael S. »

Welches der Update Pakete zerschießt angeblich Dein System? Ich sehe kein Paket, das dazu in der Lage wäre. Vielmehr klingt Deine Beschreibung, als wärst Du mit instabiler oder sogar inkompatibler Hardware konfrontiert. Daß auf dem Rechner vorher W2K lief, besagt rein garnichts. Deine Vorwürfe basieren auf Mutmaßungen.

> Da hatte ich plötzlich keine Berechtigung zu einem Update, obwohl login und pwd stimmen.

Hast Du vor all diesen Installationen Deinen "rolix" Account bei RHN aufgeräumt? Denn falls nicht, waren dort alle Plätze belegt und ein neu installierter Rechner konnte nicht angemeldet werden. Aber das besagt dann auch die Fehlermeldung, die Du gründlich lesen solltest, anstatt gleich loszupöbeln.

> warum verkaufen die denn solchen Schrott?

Ich finde diese höchst subjektive Wortwahl unpassend. Nicht jede Software ist fehlerfrei. Und sie kann nicht auf allen nur denkbaren System getestet werden. Um nachträglich Bugs und ggf. Sicherheitslücken zu beheben, gibt es Updates.

> die können nicht mehr auf meinem System rumschnüffeln.

Haben sie nie. Aber das kapierst Du offenbar nicht.

> Zusätzlich schickt die firewall alles von RH kommentarlos in's Nirwana.

Auch dies basiert auf einem Mißverständnis. Von außen findet überhaupt kein Kontaktversuch statt. Errata Benachrichtungen bekommst Du auf Wunsch per Mail, siehe Einstellungen Deines RHN Account, an die e-Mail Adresse, mit der Du Dich ausdrücklich bei RHN registriert hast. Du solltest Dir bei Gelegenheit mal anschauen, wie RHN funktioniert.

> habe ich den Heinis per e-mail klargemacht, daß ich an weiteren Scherzen
> dieser Art nicht interessiert sei und daß sie mich gefälligst in Ruhe lassen sollen.

Unpassend und peinlich, wie Du ständig mit Beleidigungen um Dich wirfst. Du bist es doch, der ein Produkt gekauft hat und aus eigenem Wunsch (Support-)Dienste in Anspruch nimmt. Du kontaktierst Red Hat ausdrücklich, nicht umgekehrt.

ROLUX

Re: Red Hat 8.0

#9 Post by ROLUX »

Michael,
sowohl SuSE 7.2 als auch SuSE 8.0 laufen ohne Probleme auf dem Rechner; Harware-Problem ist also nicht. Ohne diesen angeblichen Update-Service läuft RH8 ja auch prima. Was mich so fuchst, das sind die falschen Versprechungen, die diese "Leute" machen. Außerdem geht nimmt dieses tool völlig unkontrolliert Kontakt mit RH auf, auch auf runlevel 3. Seit ich die Dateien gelöscht habe, ist damit Schluß und es gibt auch keine unerklärlichen Festplattenaktivitäten mehr. Wieso kann man sich die Updates - so sie denn nötig sein sollten - nicht einfach bei RH runterladen?
Du sagst, die würden nicht auf die Rechner zugreifen; wie kommen die denn sonst an Informationen über ein fremdes System?

gekauft ....
Stimmt, ich habe das Produkt gekauft und mich darauf verlassen, daß die versprochenen Leistungen auch erbracht werden. Wie dumm von mir, so etwas anzunehmen. Support ja, aber nur gegen Bezahlung. Bill Gates lässt grüßen. Mann, ich hab doch nur wissen wollen, wie man vom RH-client auf dem RH-server druckt, weil die Typen im Handbuch nicht mal erwähnen. Da bekommt man noch nicht einmal eine Antwort. Aber wer schon so blöde ist und mit Linuxrechnern im Netzwerk arbeiten will, dem braucht man ja nicht zu antworten.
All das ist sehr Schade, denn RH8 ohne den Firlefanz finde ich schon toll, alles wirkt durchdacht und macht Sinn. Windows Office hat jetzt endlich <img src="http://www.pl-forum.de/UltraBoard/Images/Happy.gif" border="0" align="middle"> ausgedient, OpenOffice macht's möglich. Und wenn ich noch 'ne preiswerte Buchhaltungs-Software aufgabeln kann ...

rolux

IchBins

Re: Red Hat 8.0

#10 Post by IchBins »

ROLUX - nur ein Troll ... also gebt euch keine Mühe.

Michael S.

Re: Red Hat 8.0

#11 Post by Michael S. »

> ROLUX - nur ein Troll ... also gebt euch keine Mühe.

Keine Sorge, ich bin im Bilde.

> Außerdem geht nimmt dieses tool völlig unkontrolliert Kontakt mit RH auf,
> auch auf runlevel 3.

Falsch. Du wolltest schreiben "vollkommen kontrollierbar". Der Red Hat Network Service Daemon fragt alle paar Stunden (ein- und abstellbar!) Deinen Account bei Red Hat Network ab, ob Du dort Aufträge in die Warteschlange eingetragen hast bzw. ob Du Updates eingespielt haben möchtest. Red Hat Network hat nämlich Funktionen, die Dir zwar nicht gefallen mögen, anderen aber schon. Wie ich bereits schrieb, stell es ab, wenn Du es nicht magst. Ein Weg ist "chkconfig rhnsd off" als Superuser oder das Deinstallieren von up2date und up2date-gnome.

> Wieso kann man sich die Updates - so sie denn nötig sein sollten -
> nicht einfach bei RH runterladen?

Wieso läßt Du solche Mutmaßungen nicht? Natürlich kannst Du Errata Pakete manuell runterladen, und zwar auf ftp://updates.redhat.com ODER https://rhn.redhat.com ODER vielen FTP/HTTP/RSYNC Mirrors weltweit. http://www.redhat.com/errata enthält die Advisories ebenfalls.

> Du sagst, die würden nicht auf die Rechner zugreifen;
> wie kommen die denn sonst an Informationen über ein fremdes System?

Du hast Dich und Deinen Rechner explizit registriert und möglicherweise auch entschieden, Deine Liste der installierten Pakete an Deinen RHN Account zu senden. Du tust Dinge, die Du nicht verstehst, so einfach ist das. Und auch, falls Du Deinen Rechner nur bei RHN registriert haben solltest -- das kannst Du in Deinem Account dort nachschauen -- gibt es die Option, über neue Update Pakete informiert zu werden, ob sie für Dich relevant sind oder nicht.

> Da bekommt man noch nicht einmal eine Antwort.

Das hängt davon ab, ob eine Frage vom Supportumfang abgedeckt ist oder nicht. Ich kann mir irren, meine aber, Remote Printing Problemchen gehen über den einfach Leistungsumfang hinaus. Und sind Deine 60 Tage Support nicht schon vorbei?

ROLUX

Re: Red Hat 8.0

#12 Post by ROLUX »

Du hast Recht, es ist mein Fehler. Ich war davon ausgegangen, daß ich mir bei Bedarf ein Update (oder wie Du's nennen willst) runterladen kann. Ist erledigt, ich hab den Zinnober abgestellt.
OpenOffice und dgl. laufen trotz der angeblichen Schäden im System einwandfrei; nur drucken auf den RH8-Server geht (noch) nicht.
Diesen "Account" bei RHN habe ich mir jetzt mal angesehen, da stand nix drin, außer daß die mir 4 Errata (oder so ähnlich) verkaufen wollen.

Wie gesagt, es war mein Fehler,
rolux

Michael S.

Re: Red Hat 8.0

#13 Post by Michael S. »

> Diesen "Account" bei RHN habe ich mir jetzt mal angesehen, da stand nix drin,

Wenn ich Dir sage, daß Du in den Optionen eine Checkbox hast, über die Du Benachrichtigungen zu neuen Paketen an- und abstellen kannst, dann ist das so. Wenn Du etwas nicht findest, weil Du Dich nicht länger als ein paar Sekunden mit den Funktionen vertraut machst, ist das Dein Problem.

> daß ich mir bei Bedarf ein Update (oder wie Du's nennen willst) runterladen kann.

Aber selbstverständlich kannst Du up2date auch ab und an manuell starten und bestimmen, welche Pakete Du willst und welche nicht.

> außer daß die mir 4 Errata (oder so ähnlich) verkaufen wollen.

Verkaufen? <img src="http://www.pl-forum.de/UltraBoard/Images/Wilk.gif" border="0" align="middle">

Nein, von Verkaufen steht da rein garnichts. Aber Du kannst einen Abgleich zwischen allen neuesten, erhältlichen Paketen und der Menge der von Dir installierten Pakete machen. Sollte Dir eigentlich gefallen. Denn dem Eindruck nach, den Du hier so hinterläßt, wärst Du der erste, der laut zetert und grundlos lospöbelt, wenn er irgendwo von einem Bug oder einer noch so geringen Sicherheitslücke hören sollte und nur zu bequem war, von allein nach neuen Paketen zu sehen. Deswegen läßt man sich über neue Pakete informieren.

ROLUX

Re: Red Hat 8.0

#14 Post by ROLUX »

Was weiß ich denn von Sicherheitslücken, da hab ich doch keine Ahnung von. Hat RH8 denn welche? Mann, dann wäre mein firewall/gateway-Rechner für die Katz. Dann ist alles umsonst. OK, ich nehm's halt so, wie es ist und lege das Ding lahm.

Danke für die Tips und Erklärungen,
rolux

Michael S.

Re: Red Hat 8.0

#15 Post by Michael S. »

Siehste? Was sagte ich voraus? <img src="http://www.pl-forum.de/UltraBoard/Images/Wilk.gif" border="0" align="middle">

Du bekommst ein Stichwort und laberst schon wild los und läßt Mutmaßungen vom Stapel. Bleib mal gaaanz locker. :)

Der Begriff "Sicherheitslücke" bedeutet nicht zwangsläufig Verwundbarkeit über das Netz, sondern umfaßt vielmehr Probleme mit Programmen und Diensten auf dem lokalen Rechner, z.B. vorhersagbare temporäre Dateinamen. Oft werden sogar Bugs behoben, obwohl das Linux Produkt in seiner Grundkonfiguration garnicht betroffen ist.

Was für eine Firewall Du einsetzt, kann ich von hier aus nicht beurteilen. Manche User und Administratoren bezeichnen als "Firewall", was eigentlich keine Firewall ist. Andere schustern sich eigene Paketfilterregeln zusammen, die zwar den Rechner gegen Zugriff aus dem Internet abschotten, aber Pakete ins LAN weiterleiten. Andere nehmen vorgefertigte Firewall-Lösungen, konfigurieren sie aber falsch oder öffnen zig Ports und tun dies im übrigen ebenfalls mit Microsoft Windows. Ein Gateway ist nur so sicher, wie sein Administrator fähig ist.

Welche Fixes es für welche Fehler in Red Hat Linux 8.0 gibt, kannst Du im Detail hier nachlesen.

https://rhn.redhat.com/errata/rh8-errata.html

Nachlesen bedeutet gründlich lesen, nicht Vorverurteilen oder aus der Luft greifen. <img src="http://www.pl-forum.de/UltraBoard/Images/Wilk.gif" border="0" align="middle">

Post Reply