weil es viel schöner ist, einige Linuxanhänger wieder auf den Boden der Tatsachen zurückzuholen.
Es ist u.a. nur eine Frage der Zeit, bis die ersten Backdoors/viren/würmer in KDE-Themes (ja, da gibts auch welche zum compilieren) und MP3 Player Plugins auftauchen.
./configure;make; su -c make install sind halt leider auch nicht sicherer als ein Doppelklick unter Windows.
Meiner Meinung nach ist irssi einer der besten IRC-Programme, auch wenn ich es nicht häufig nutze ...
Ich finde es gut, wie hier Schadensbegrenzung betrieben wird ... anders als bei MS und Co. wird nicht alles verschwiegen, sondern alle Informationen nach außen gegeben und gleich eine neue Version herausgebracht ...
> befindet sich ein Backdoor in dem bekannten irc-clienten > Applikation so verändert
Das ist falsch/irritierend. Die Backdoor wurde in das Compilation-Konfigurationsskript eingebaut. Das oben hört sich an, als ob jemand per IRC sich Zugriff auf ein System verschaffen könnte.
>> Das oben hört sich an, als ob jemand per IRC sich Zugriff auf ein System verschaffen könnte. > Das haben so Backdoors an sich, dass sich jemand Zugriff auf ein System verschaffen kann.
Hast du das "per IRC" gelesen?
> The backdoored configure script spawns a new shell, connects to some server and allows full shell access to it.
Selbst Schuld wer "configure" und "make" als root ausführt.
und nicht nur... Manche Applikationen verlangen root-Rechte beim configure und make. Leider kann ich keine Namen nennen, aber so Applikationen habe ich schon desoefteren gesehen.
Schon möglich, trotzdem kein Grund standardmäßig als root zu configurieren/compilieren/installieren. Wo es dann wegen mangelnder Rechte nicht läuft, kann man sich ja noch immer Gedanken machen ob das seine Richtigkeit haben könnte und es genauer untersuchen.
Da bin ich Deiner Meinung. Wobei natürlich jeder davon ausgeht, dass Pakete, die von der Seite der Betreiber heruntergeladen werden, sauber sind. Nichts desto trotz, sollte jeder sich gleich die Checksumme herunterladen und jeses Paket - agel, welche Applikation - immer prüfen.
Super, wer das Programm auf dem Server austauschen kann, der kann auch die MD5 Datei mit der Checksumme austauschen. Man könnte höchstens beides in verschiedenen Quellen anbieten. Gruß, Thomas
Wer glaubt, das Software, nur weil sie Quelloffen ist, fehlerfrei ist, hat ein ganz anderes Problem. Der Vortel von Quellofeener Sofware hat sich aber hier gerade bewährt - der Fehler wurde recht schnelll gefunden und bekanntgemacht, während wo anders Du sechs Wochen Zeit hast, als böser den Fehler zu genießen, bis sich die Firma mal bequemt hat, einen Patch zu veröfentlichn und dann auch den Fehler öffentlich eingesteht.
Weiterhin gibt es durchaus signierte Quellen, trotzdem darf man nicht zuviel erwarten, die miesten sind nun doch immer noch Freizeitprogrammier. Letzteres ist auf die Zeit, nicht auf die Qualität bezogen.
Der Vorfall zeigt, dass man auch unter Linux die Dinge mit Vorsicht genießen soll. Ein System ist schließlich nur so gut wie der Admin/Anwender. Linux ist nicht unkaputtbar und Anwender haben nur deshalb nicht so viel Ärger mit Viren usw. weil das System nicht so weit verbreitet ist.
Quellen und Programme grundsätzlich zu signieren, ist eine guter Ansatz. Das macht vielleicht etwas mehr Mühe, aber das sollte es wohl wert sein.
ein weiteres und sehr hohes risiko stellen rpm pakete dar. um jene auf dem system zu installieren muss man die root-shell starten. wird also ein rpm paket installiert hat das programm welches sich im rpm paket befindet 100% zugriff auf die linux-kiste. man sollte also immer die fertigen rpm pakete aus dem internet immer mit vorsicht geniessen. mit grosser vorsicht. auch wenn sie verdammt bequem sind und ich selber lieber nen rpm nehme als das programm selber auf meinem rechner zu kompilieren (allein schon aus dem grund, da ich keine lust habe 100te von devel-libs auf meinem computer haben zu müssen um erfolgreich kompilieren zu können.
ein weiterer punkt ist das online-update von suse (in wieweit das andere distributionen haben weiss ich nicht, da ich nur suse nutze). keiner weiss ob die pakete auf dem server nicht irgendwie gefaked wurden. die daten werden einfach heruntergeladen und installiert. es gibt (konnte ich nicht sehen) wohl keine checksummen überprüfung. hier sollte sich das ganze ändern. es sollte ja keine schwierigkeit sein einen public-key von suse auf den cds auszuliefern....
naja... noch ist ja nichts passiert *g* hoffen wir dass es so bleibt
Ich bin mir eigentlich ziemlich sicher, daß die Pakete von SuSE signiert sind und auch geprüft werden. Selbst Red-Carpet prüft die SuSE-Pakete mit dem SuSE-Package-Key.
Es ist u.a. nur eine Frage der Zeit, bis die ersten Backdoors/viren/würmer in KDE-Themes (ja, da gibts auch welche zum compilieren) und MP3 Player Plugins auftauchen.
./configure;make; su -c make install sind halt leider auch nicht sicherer als ein Doppelklick unter Windows.
auch wenn ich es nicht häufig nutze ...
Ich finde es gut, wie hier Schadensbegrenzung betrieben wird ...
anders als bei MS und Co. wird nicht alles verschwiegen, sondern
alle Informationen nach außen gegeben und gleich eine neue
Version herausgebracht ...
> Applikation so verändert
Das ist falsch/irritierend. Die Backdoor wurde in das Compilation-Konfigurationsskript eingebaut. Das oben hört sich an, als ob jemand per IRC sich Zugriff auf ein System verschaffen könnte.
Das ist falsch/irritierend. Die Backdoor wurde in das Compilation-Konfigurationsskript eingebaut.
oder vielleicht so?
> Die Angreifer veränderten nach
> Informationen der
> Betreiber das Configure-Script
> und luden die Applikation
> wieder auf die Projekt-Seite.
Wer schon quoten will, der sollte es genauer machen.
Das haben so Backdoors an sich, dass sich jemand Zugriff auf ein System verschaffen kann. Auch dieses ermöglicht es und zwar so:
The backdoored configure script spawns a new shell, connects to some server and allows full shell access to it. So, it might have done anything.
Nun ja, drei Sätze und drei Falschinformationen oder Ungenauigkeiten. Respekt! :)))
> Das haben so Backdoors an sich, dass sich jemand Zugriff auf ein System verschaffen kann.
Hast du das "per IRC" gelesen?
> The backdoored configure script spawns a new shell, connects to some server and allows full shell access to it.
Selbst Schuld wer "configure" und "make" als root ausführt.
und make install ? Das geht wohl nur als root... ausser man pappts in ein privates Verzeichnis.
Gruß, Thomas
so muss es heissen
Weiterhin gibt es durchaus signierte Quellen, trotzdem darf man nicht zuviel erwarten, die miesten sind nun doch immer noch Freizeitprogrammier.
Letzteres ist auf die Zeit, nicht auf die Qualität bezogen.
Quellen und Programme grundsätzlich zu signieren, ist eine guter Ansatz. Das macht vielleicht etwas mehr Mühe, aber das sollte es wohl wert sein.
ein weiterer punkt ist das online-update von suse (in wieweit das andere distributionen haben weiss ich nicht, da ich nur suse nutze). keiner weiss ob die pakete auf dem server nicht irgendwie gefaked wurden. die daten werden einfach heruntergeladen und installiert. es gibt (konnte ich nicht sehen) wohl keine checksummen überprüfung. hier sollte sich das ganze ändern. es sollte ja keine schwierigkeit sein einen public-key von suse auf den cds auszuliefern....
naja... noch ist ja nichts passiert *g*
hoffen wir dass es so bleibt
aber zumidest auf andere rpms trift dies zu