Stimmt, es war bzw. ist ein Openssl-Desaster. Betroffen ist aber jede Software, die mit von Openssl erstellten Schlüsseln arbeitet, also auch Openssh, natürlich unabhängig vom Betriebssystem. http://www.heise.de/security/artikel/Der-kleine-OpenSSL-Wegweiser-270076.html
Eben. Erstens kann man da noch so viel modernste Software von Hand kompilieren, wie man will. Verwendet man die alten Schlüssel weiter (sofern anfällig), dann ist das System weiterhin anfällig. Verwendet man dagegen ganz normal die aktuellen Debian-Kompilate, ist man mit neu generierten Schlüsseln nicht minder sicher als mit ganz anderen Betriebssystemen. Was soll einem dann ein selbst kompiliertes OpenSSL/SSH auf einem Debian für Vorteile bringen? Es sei denn, die bauen noch immer fleißig so Fahrlässigkeiten wie damals ein. Davon würde ich, nach dieser Peinlichkeit, aber nicht unbedingt ausgehen.
Streng genommen hängt das Debiansche Openssl-Desaster an einem Phänomen, dass viele Nutzer auch aus ihrem Berufsleben kennen: Mitarbeiter bzw. Vorgesetzte, die gleichzeitig unfähig ("dumm") und fleißig sind, verursachen mitunter den allergrößten Schaden, wenn sie nicht gestoppt werden.
Ich verweise in diesem Zusammenhang gerne auf diese Quelle: http://de.wikipedia.org/wiki/Kurt_von_Hammerstein-Equord
"Und zur Beurteilung der ihm unterstellten Offiziere meinte [Kurt von Hammerstein-Equord]:
„Ich unterscheide vier Arten. Es gibt kluge, fleißige, dumme und faule Offiziere. Meist treffen zwei Eigenschaften zusammen. Die einen sind klug und fleißig, die müssen in den Generalstab. Die nächsten sind dumm und faul; sie machen in jeder Armee 90% aus und sind für Routineaufgaben geeignet. Wer klug ist und gleichzeitig faul, qualifiziert sich für die höchsten Führungsaufgaben, denn er bringt die geistige Klarheit und die Nervenstärke für schwere Entscheidungen mit. Hüten muss man sich vor dem, der gleichzeitig dumm und fleißig ist; dem darf man keine Verantwortung übertragen, denn er wird immer nur Unheil anrichten.""
Vergiß openSSH nicht!
OpenSSH sollte ebenfalls unter Debian selbst aus den Originalquellen compiliert und installiert werden.
Oder man nimmt die Version halt aus sid, was aber keine Umgehung der Paketverwaltung ist.
Wieso?
Weil es vor einiger Zeit da mal was böses gab oder weil es da noch was aktuelles gibt?
Ist das unter Debian noch immer nicht sicher?
War das nicht OpenSSL, womit es Probleme gab? SSH auch?
Stimmt, es war bzw. ist ein Openssl-Desaster.
Betroffen ist aber jede Software, die mit von Openssl erstellten Schlüsseln arbeitet, also auch Openssh, natürlich unabhängig vom Betriebssystem.
http://www.heise.de/security/artikel/Der-kleine-OpenSSL-Wegweiser-270076.html
Die von Openssl erstellten und von Openssh verwendeten Schlüssel sind das Problem.
Eben.
Erstens kann man da noch so viel modernste Software von Hand kompilieren, wie man will. Verwendet man die alten Schlüssel weiter (sofern anfällig), dann ist das System weiterhin anfällig.
Verwendet man dagegen ganz normal die aktuellen Debian-Kompilate, ist man mit neu generierten Schlüsseln nicht minder sicher als mit ganz anderen Betriebssystemen.
Was soll einem dann ein selbst kompiliertes OpenSSL/SSH auf einem Debian für Vorteile bringen? Es sei denn, die bauen noch immer fleißig so Fahrlässigkeiten wie damals ein. Davon würde ich, nach dieser Peinlichkeit, aber nicht unbedingt ausgehen.
Streng genommen hängt das Debiansche Openssl-Desaster an einem Phänomen, dass viele Nutzer auch aus ihrem Berufsleben kennen: Mitarbeiter bzw. Vorgesetzte, die gleichzeitig unfähig ("dumm") und fleißig sind, verursachen mitunter den allergrößten Schaden, wenn sie nicht gestoppt werden.
Ich verweise in diesem Zusammenhang gerne auf diese Quelle:
http://de.wikipedia.org/wiki/Kurt_von_Hammerstein-Equord
"Und zur Beurteilung der ihm unterstellten Offiziere meinte [Kurt von Hammerstein-Equord]:
„Ich unterscheide vier Arten. Es gibt kluge, fleißige, dumme und faule Offiziere. Meist treffen zwei Eigenschaften zusammen. Die einen sind klug und fleißig, die müssen in den Generalstab. Die nächsten sind dumm und faul; sie machen in jeder Armee 90% aus und sind für Routineaufgaben geeignet. Wer klug ist und gleichzeitig faul, qualifiziert sich für die höchsten Führungsaufgaben, denn er bringt die geistige Klarheit und die Nervenstärke für schwere Entscheidungen mit. Hüten muss man sich vor dem, der gleichzeitig dumm und fleißig ist; dem darf man keine Verantwortung übertragen, denn er wird immer nur Unheil anrichten.""
Ich fühle mich bezüglich "klug und gleichzeitig faul" angesprochen.