Re: Heise Meldung
Jan Lühr schrieb am Mittwoch, 26. November 2003 um 17:55:12 +0100: -BEGIN PGP SIGNED MESSAGE- Hash: SHA1 ja hallo erstmal,... Am Mittwoch, 26. November 2003 17:35 schrieb Ingo Juergensmann: On Wed, Nov 26, 2003 at 04:57:18PM +0100, Jan Lühr wrote: http://www.wiggy.net/debian/status/ danke, ich meinte weitegehende. Das ist noch sehr allgemein. Was erwartest Du? Dass sie eine Anleitung zum Cracken ins Netz stellen oder dass die erstmal die Rechner wieder ans Laufen bekommen? Nein. Nur detaillierte Infos. Da dort steht, dass die Infos am Mittwoch kommen, wollte ich fragen, ob jemand vorab schon was weiß. Das ist alles. Wenn Du die verschiedenen Artikel, die auf Wicherts Seite verlinkt sind, liest, bekommst Du schon ein paar mehr Informationen. An sonsten abwarten, es wird sicher einen umfangreicheren Report geben. [Persönliche Meinung, KEIN OFFIZIELLES STATEMENT:] Das ganze sieht für mich nach einem Password-Compromise aus. D.h. irgendjemand war vielleicht unvorsichtig im Umgang mit seinen Passwörtern. Ich denke, daß es sehr schwierig ist, mit über 1100 berechtigten Benutzern, die über die gane Welt verteilt sind und die Debian-Rechner fast nur remote erreichen können, einen sichere Umgebung aufzubauen und zu erhalten. -- Jörg Friedrich -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Heise Meldung
Am 2003-11-21 21:06:27, schrieb Christian Eichert: Daniel Leidert wrote: Hallo Patrick Cornelissen, Du schriebst: Ich hatte mich diese Nacht schon gewundert, warum von einer Sekunde auf die nächste http://security.debian.org nicht mehr verfügbar war. Auf welcher Seite stellt Debian Informationen zur Verfügung, wie tief mögliche Manipulationen reichten und wann alle Teile der Distribution wieder verfügbar sind/sein werden? [EMAIL PROTECTED]:~# apt-get update Hit ftp://ftp.de.debian.org stable/main Packages Hit ftp://ftp.de.debian.org stable/main Release Hit ftp://ftp.de.debian.org stable/non-free Packages Hit ftp://ftp.de.debian.org stable/non-free Release Hit ftp://ftp.de.debian.org stable/contrib Packages Hit ftp://ftp.de.debian.org stable/contrib Release Hit ftp://ftp.de.debian.org stable/main Sources Hit ftp://ftp.de.debian.org stable/main Release Hit ftp://ftp.de.debian.org stable/non-free Sources Hit ftp://ftp.de.debian.org stable/non-free Release Hit ftp://ftp.de.debian.org stable/contrib Sources Hit ftp://ftp.de.debian.org stable/contrib Release 48% [Connecting to non-us.debian.org (194.109.137.218)] . und peng ... da friert er ein ... weiter nur mit ^C Da friert nichts ein, - Der hat nur eine imense Time-Out... Die Frage ist, warum verwendest Du non-us.debian.org ? deb ftp://ftp.de.debian.org/debian-non-US/ woody/non-US main contrib non-free grüße Michelle -- Registered Linux-User #280138 with the Linux Counter, http://counter.li.org. -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Heise Meldung
Am 2003-11-26 02:38:43, schrieb Marc Haber: On Wed, 26 Nov 2003 00:55:01 +0100, Dirk Prösdorf [EMAIL PROTECTED] wrote: Marc Haber [EMAIL PROTECTED] wrote: Nichtsdestotrotz hätte ich gerne ein Kochrezept, um mich selbst davon überzeugen zu können dass die Packages im Archiv noch die sind, die die Maintainer damals hochgeladen haben. man md5sum Gibst Du mir vertrauenswürdige Referenzsummen? ;-) ...und dann ist md5sum für Package-Maintainer nicht bindend. Soweit ich das gesehen habe, sind die wenigsten Pakete mit md5sum. Allerdings mache ich das in meine Pakete standardmäßig, denn es ist ja sowieso nur eine einzige Zeile in der Makefile Grüße Michelle -- Registered Linux-User #280138 with the Linux Counter, http://counter.li.org. -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Heise Meldung
On Wed, 26 Nov 2003 09:07:31 +0100, Michelle Konzack [EMAIL PROTECTED] wrote: Am 2003-11-26 02:38:43, schrieb Marc Haber: Marc Haber [EMAIL PROTECTED] wrote: Nichtsdestotrotz hätte ich gerne ein Kochrezept, um mich selbst davon überzeugen zu können dass die Packages im Archiv noch die sind, die die Maintainer damals hochgeladen haben. man md5sum Gibst Du mir vertrauenswürdige Referenzsummen? ;-) ...und dann ist md5sum für Package-Maintainer nicht bindend. Da ich glücklicherweise von den md5summen in .dsc und .changes spreche, ist es doch bindend. Aber Debian hebt ja die .changes Files nicht auf :-( Grüße Marc -- -- !! No courtesy copies, please !! - Marc Haber |Questions are the | Mailadresse im Header Karlsruhe, Germany | Beginning of Wisdom | Fon: *49 721 966 32 15 Nordisch by Nature | Lt. Worf, TNG Rightful Heir | Fax: *49 721 966 31 29 -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Heise Meldung
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 ja hallo erstmal,.. Am Donnerstag, 27. November 2003 07:54 schrieb Eduard Bloch: Moin Jan! Jan Lühr schrieb am Wednesday, den 26. November 2003: Ich maße mir nicht an mehr zu wissen als die Developer. Eine Einführung eines solchen Systems ist meiner Meinung nach eher eine politische Entscheidung als eine praktische. Und welche Idee sollte Deiner Meinung nach von den Debian-Developern damit verfolgt werden, eine Verbesserung aus politischen Gründen zu verweigern? Welche Politik sollte dahinter stehen? keine Ahnung. Daher stellt sich die Frage: Warum werden, im Gegensatz zu MSI auf dem Windows Server 2003 keine Signaturen von Software angewandt um die Echtheit zu bestätigen? Wann raffst du es endlich? Uploads werden signiert, d.h. auch die Prüfsummen der Binär-Pakete. Was glaubst eigentlich, wie man so schnell die neuen 3.0r2-Pakete prüfen konnte? Bitte was? Nach dem LinuxMagazin[1] ist das nicht der Fall - ok, die sind nicht so überragend liegen aber auch selten krass daneben. Danach sind nur md5sums nicht aber signaturen der Maintainer in den Paketen zu finden. Hier scheint mir M$ Debian um einiges vorraus zu seien. Wirst du von MS bezahlt? Nein. Wenn ja, dann aber schlecht; für glänzende Ahnungslosigkeit und Verbreitung von wilden Spekulationen als Gerüchte (stinkend nach FUD) gibt es z.B. Heise Trollforen. Bitte was? Ich rege lediglich an, dass Maintainer und das sec-team die authenzität von Paketen mit ihren gpg/pgp-Signaturen in den Paketen selber hinterlegen. Das ist alles. Danach ist ein signieren des Gesamtpakets zwar möglich, dass die Signatur im deb drin steht ist aber nicht gesagt. Keep smiling Alter Schleimerspruch, geh weg. Wenn du diese Liste lesen würdest, würde dir auffallen, dass es lediglich eine standardgrußformel von mir ist. Ich sehe keinen Grund sie zu ändern. Wenn du eine Flamewar willst, bitte ich dich, mir eine Regulären Ausdruck zu schicken, damit ich deine E-Mails von welcher Addi auch immer, nach /dev/null wandern. An so was habe ich kein Interese. Keep smiling yanosz [1] https://www.linux-magazin.de/Artikel/ausgabe/2002/11/pakete/pakete.html -BEGIN PGP SIGNATURE- Version: GnuPG v1.2.3 (GNU/Linux) iQIVAwUBP8YWRtAHMQ8GQaYRAQKskA/+Ix4sCSu2jQ2sj9K+1Uu+sLWhRK243Dey mLRr88c3Af3dZP64sC0+d0CU3hXsJEWtQ0de3IeK3sog7LxK2j8piYR/7FWZYhr1 C/zD41DHEgFY/DraPFWskz3CWkH68O2Y++ZAymnCLV2ifGeDMWiar3yda4cIVEkg QN8Zy0ptW7ZRbVNLI3Tsq870bFFFMaqpVezS+ihhWtq8rNSepAfxBb+akst9b3KS MCjChubAsaCmvmRRStSeCLXRPftddiNWU2EA44EdN8gMO/TyLRYDHEV2P0HkmSGg K1zW9hau82ilqnLtgjZPZray/JBBBSvzB9sEru9KkGgr6E8TWWI0JbaiyIbl5L38 sod3QnjorWXADaYq0Uy+VFmp4DqNIdZA4OnCcVgRQ/zno7eFr6rVa2pg6oaM4n1j OoP7PLkVLibskLEz3ox6PshnBo2L7/XgSGwC34iVLIi0ceSmmaKJ+B2cxKD4upZm pds/Ue/RUiW4RbHLDcY+/L3ukHeL1nBOIN363ei9SM8hlcIbtWGDw06NWCunRVdL +tB4ZijkBCjvkOgBEBXcto6v8j8BXuz0kuNIkrS2EzKF6FvEif3TQ1E8y92c/JE1 4n/F0n8WIeI4hV85vBE+aCqhNmKoRZaGHqZ0YrNJKddb92EKgKaH1jr+6H4UOvsb 5kcpIcPdLNQ= =ESId -END PGP SIGNATURE- -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Heise Meldung
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 ja hallo ersmtal,... Am Donnerstag, 27. November 2003 16:37 schrieb Eduard Bloch: Moin Jan! Jan Lühr schrieb am Thursday, den 27. November 2003: keine Ahnung. Daher stellt sich die Frage: Warum werden, im Gegensatz zu MSI auf dem Windows Server 2003 keine Signaturen von Software angewandt um die Echtheit zu bestätigen? Wann raffst du es endlich? Uploads werden signiert, d.h. auch die Prüfsummen der Binär-Pakete. Was glaubst eigentlich, wie man so schnell die neuen 3.0r2-Pakete prüfen konnte? Bitte was? Nach dem LinuxMagazin[1] ist das nicht der Fall - ok, die sind Lern lesen. Ich schrieb nicht Pakete sondern Uploads. Ja, das hast geschrieben. Ich rege aber auch Signaturen in den Paketen an. Ja, das heisst das .changes -File, wo die md5-Summen stehen und mit einer PGP-Signatur versehen ist. Was sinnvoll ist, bei einzeln mit dpkg installierten Paketen jedoch nicht viel bringt. z.B. könnte ich nicht sagen, ob die deb zu ssh echt oder nicht echt ist. Können wir bitte auf persönliche Deformierungen verzichten? Ich mache es auch nicht. nicht so überragend liegen aber auch selten krass daneben. Danach sind nur md5sums nicht aber signaturen der Maintainer in den Paketen zu finden. md5sums werden in Packages-Files mitgeschleppt, und die md5sums der Packages-Files in Release-Files, und diese sind wiederrum signiert. Schoen, es ist nicht das Verfahren, dass 0815-User zur Überprüfung seines händisch gezogenen Paketes verstehen will, aber es gibt es. Was spräche dann gegen die Einführung eines solchen Systems? Keep smiling yanosz -BEGIN PGP SIGNATURE- Version: GnuPG v1.2.3 (GNU/Linux) iQIVAwUBP8Ydw9AHMQ8GQaYRAQJ4JQ/+LpC1aDE8KeHaPtCAE0a4tK7RpchNLBUb CYgGIMY91iThWJ+8G9+5Iy0g4+MF78ig7MbliXHXs7sQhlia1NdvsECKX35t0UoI BEmjn8JY6r0GXSJhi6DCH7apkQ/9uFChAdhXlKhta2CdyXVttbAeRMiLdBSabsD0 KmmsUqNQbYo1Lq7KjDHi8Dn/KQ4AIj5UDYDEdALvJukJVqnThyxCT7w171ut2M4l xtm4+hWvejDACyM0kihHcvLelHCP8NAxoG5/hfMoGzWOnAGLRxnl95+k0jwxlT5B 5/NuRyykAQ1XWs/3iT3yBonolds1FenaDH7rZt7550/k1ShqsUMYkCQ4/bnn91M4 7XiQtPeFbu/s790GniGVM3PDQtVFNU/qyFvQXwXp9HE1Y4oGoORMDEZ+2vLt15ry 8iL4vChwktp+Y/c7yAhfKgo0j7OmmTnt6OgrNt2IwnqYoUCrKKILGCrhlsbMJVup XN9oaywFgabcC1Rst0ycIDMLtBkcqiJKHG/6CbKQNGFc3AKAD96f7hbBDXQDqtWF ZseCss/q0Gb7vrkrmbdrM7TqpQ+sukRdDhIbOelulteoj2OGG5Cpu17EeYjNuyKx SSPuc8BQNwmEo9cUzpG37sk2nARqdtH5NFuZJSBN1xGbSmsZfV7rpK/scTj2qIcF LbuX3NX9kWQ= =+G60 -END PGP SIGNATURE- -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Heise Meldung
Jan Lühr [EMAIL PROTECTED] schrieb: keine Ahnung. Stimmt. Daher stellt sich die Frage: Warum werden, im Gegensatz zu MSI auf dem Windows Server 2003 keine Signaturen von Software angewandt um die Echtheit zu bestätigen? Hier scheint mir M$ Debian um einiges vorraus zu seien. Du könntest ja vielleicht mal auf debian-devel nachsehen, ob nicht bereits darüber diskutiert wurde, und vielleicht da die Begründung genannt wird? Gruß, Frank -- Frank Küster, Biozentrum der Univ. Basel Abt. Biophysikalische Chemie -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Heise Meldung
Jan Lühr [EMAIL PROTECTED] schrieb: ja hallo erstmal,.. Am Donnerstag, 27. November 2003 07:54 schrieb Eduard Bloch: Moin Jan! Jan Lühr schrieb am Wednesday, den 26. November 2003: keine Ahnung. Daher stellt sich die Frage: Warum werden, im Gegensatz zu MSI auf dem Windows Server 2003 keine Signaturen von Software angewandt um die Echtheit zu bestätigen? Wann raffst du es endlich? Uploads werden signiert, d.h. auch die Prüfsummen der Binär-Pakete. Was glaubst eigentlich, wie man so schnell die neuen 3.0r2-Pakete prüfen konnte? Bitte was? Nach dem LinuxMagazin[1] ist das nicht der Fall - ok, die sind nicht so überragend liegen aber auch selten krass daneben. Danach sind nur md5sums nicht aber signaturen der Maintainer in den Paketen zu finden. Wenn du als User apt-get source machst, dann kriegst du unsignierte Pakete. Und zwar deswegen, weil die von einem buildd gemacht werden, also einer Maschine. Und Maschinen können keinen gpg-Key eingeben. Wessen auch? Wenn dagegen ein Debian-Developer Pakete nach incoming hochlädt, dann sind die sehr wohl signiert. Bitte was? Ich rege lediglich an, dass Maintainer und das sec-team die authenzität von Paketen mit ihren gpg/pgp-Signaturen in den Paketen selber hinterlegen. Das tun sie ja, für die interne Kommunikation. Welche Probleme dabei auftreten, wenn man das nach außen tragen will, kannst du in den Listenarchiven nachlesen. Gruß, Frank -- Frank Küster, Biozentrum der Univ. Basel Abt. Biophysikalische Chemie -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Heise Meldung
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 ja hallo erstmal,.. Am Donnerstag, 27. November 2003 17:09 schrieb Eduard Bloch: Moin Jan! Jan Lühr schrieb am Thursday, den 27. November 2003: Lern lesen. Ich schrieb nicht Pakete sondern Uploads. Ja, das hast geschrieben. Ich rege aber auch Signaturen in den Paketen an. Und ich habe geschrieben, dass die Signaturen _von_ Paketen implizit existieren, und zwar durch den genannten Pfad über md5sums und signiertes Release-File. Die Signaturen sind nicht _im_ Paket selbst, das ist richtig, aber solange man offiziele Pakete nimmt, ist die Authentizität nachvollziehbar. Ja, das heisst das .changes -File, wo die md5-Summen stehen und mit einer PGP-Signatur versehen ist. Was sinnvoll ist, bei einzeln mit dpkg installierten Paketen jedoch nicht viel bringt. z.B. könnte ich nicht sagen, ob die deb zu ssh echt oder nicht echt ist. Dann installiere einfach keine Wald-und-Wiesenpakete aus unbekannten Quellen. Das sowieso; Können wir bitte auf persönliche Deformierungen verzichten? Ich mache es auch nicht. Du hast in einer ziemlich trollhaften Weise argumentiert, sorry. Sorry, war wohl nicht klug gewählt nicht so überragend liegen aber auch selten krass daneben. Danach sind nur md5sums nicht aber signaturen der Maintainer in den Paketen zu finden. md5sums werden in Packages-Files mitgeschleppt, und die md5sums der Packages-Files in Release-Files, und diese sind wiederrum signiert. Schoen, es ist nicht das Verfahren, dass 0815-User zur Überprüfung seines händisch gezogenen Paketes verstehen will, aber es gibt es. Was spräche dann gegen die Einführung eines solchen Systems? Zusätzlicher Aufwand und diverse andere Gründe. Um das bestehende System benutzbarer zu machen, gibt es APT secure. http://monk.debian.net/apt-secure/ Danke für den Tipp. Ansonsten, was ich viel lieber sehen würde, wäre eine Erweiterung des existierenden debsums-Verfahrens: eine signierte Liste von Prüfsummen _aller_ Dateien des Pakets, abgelegt im Paket selbst. Keine schlechte Idee. Keep smiling yanosz -BEGIN PGP SIGNATURE- Version: GnuPG v1.2.3 (GNU/Linux) iQIVAwUBP8ZC8dAHMQ8GQaYRAQIDChAAlJ5jCU6ZQmXwKBn43t/fVdYasUniVRg4 QNdaPbJrKFn4Oai0mTPqMNAosozdslYqIEr6rgi8CeD16c6RoiMWYkUvgp1ZGaIs X7Mg7bgWNkRF3ylisZ8SfM32vQXWb5YMlxJiCtPEqamQjh01wUuMPiAN1NKdgnv+ eWAddiXZuqj+2oSfsn1au2jSiLCbfSFZjCWOFD5tTEX4vtGI0L3PjkV/lQgIkLkG vEEpFqv81HIr5NQS2nK8UBtgLQbu5XubFinYwl1o2iAonNTyebizwS9Skc6ISNuQ NdKkvJIAy7QsEenT5tkmAf7ErcFIVVuRFTyKHbubc2E2bT17Fo5EgzUgUp86TphD yiphRe1rPFX9PnfAHwOEjeIUpNN8CJ4qUShjJ0erqBvKo6rsVwmof9HYjgApIU4m 1uxKWNSEM1tGy8Q6Tl+9h7cxhdXRLzCXJJ9ph5fR2Im4ej6JCYh9M1bqxRaaNCdn pC2zFKSO0Xb9/OjmZQmEP4upIHnG6vkQQtW+78ULO4W9I31n5wD68JqowNYVyoTg wYXAFv7+Km7mvv9gS6OVtuH4QWnQNTSTsBDKUfzeDbshYs3LST66kAQ5ULPDCe8e EckkRcLx31J5j8eE3EOKpG8aDtwP35rguajl/u6HVKaPUb9vHMqMp3S60VVgjU2g jdvcrejULb0= =jRum -END PGP SIGNATURE- -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Heise Meldung
Moin Jan! Jan Lühr schrieb am Wednesday, den 26. November 2003: Ich maße mir nicht an mehr zu wissen als die Developer. Eine Einführung eines solchen Systems ist meiner Meinung nach eher eine politische Entscheidung als eine praktische. Und welche Idee sollte Deiner Meinung nach von den Debian-Developern damit verfolgt werden, eine Verbesserung aus politischen Gründen zu verweigern? Welche Politik sollte dahinter stehen? keine Ahnung. Daher stellt sich die Frage: Warum werden, im Gegensatz zu MSI auf dem Windows Server 2003 keine Signaturen von Software angewandt um die Echtheit zu bestätigen? Wann raffst du es endlich? Uploads werden signiert, d.h. auch die Prüfsummen der Binär-Pakete. Was glaubst eigentlich, wie man so schnell die neuen 3.0r2-Pakete prüfen konnte? Hier scheint mir M$ Debian um einiges vorraus zu seien. Wirst du von MS bezahlt? Wenn ja, dann aber schlecht; für glänzende Ahnungslosigkeit und Verbreitung von wilden Spekulationen als Gerüchte (stinkend nach FUD) gibt es z.B. Heise Trollforen. Keep smiling Alter Schleimerspruch, geh weg. Eduard. -- Das Telefon schrillt. Eine wütende Stimme bellt: Das alte Suppenhuhn, daß Sie mir gestern angedreht haben, ist zäh und ungeniessbar! Das müssen Sie zurücknehmen. Tut uns leid, aber das ist nach dem Gesetz verboten. Unerhört, ich spreche doch mit dem Lebensmittelhaus Krummdick und Schluckebier? Irrtum, Sie sind mit dem Standesamt verbunden! -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Heise Meldung
Am Mi, den 26.11.2003 schrieb Michael Vert um 22:36: Soweit ich in diesem Zusammenhang in anderen Quellen gelesen habe, sind Source-Pakete signiert - nur halt die Binaries nicht. Source-Pakete sind schon signiert, ja. Das merkt man auch schon daran, dass, wenn man mal selber per 'debuild' ein Paket kompiliert, es einen nach dem Privatschluessel des Paketmaintainers fragt. Es wre wnschenswert, wenn dies auch fr Binaries kommen wrde, dann wren die Aufrumarbeiten nach einem gerchteweise entfleuchten Passwort nicht so arbeitsintensiv. Soweit ich weiss, wird daran doch schon seit einiger Zeit gearbeitet? IIRC hat Ian Murdock mit Progency so etwas implenentiert, und es gibt in unstable schon diverse Pakete, die sowas machen. Es ist aus welchen Gruenden auch immer noch nicht standard bei Debian. Ich schaetze, es hat viel mit Kompatibilitaet zu tun. -- Lukas Kolbe [EMAIL PROTECTED] signature.asc Description: Dies ist ein digital signierter Nachrichtenteil
Re: Heise Meldung
Hallo, Lukas Kolbe schrieb: Am Mi, den 26.11.2003 schrieb Michael Vert um 22:36: Soweit ich in diesem Zusammenhang in anderen Quellen gelesen habe, sind Source-Pakete signiert - nur halt die Binaries nicht. Source-Pakete sind schon signiert, ja. Das merkt man auch schon daran, dass, wenn man mal selber per 'debuild' ein Paket kompiliert, es einen nach dem Privatschluessel des Paketmaintainers fragt. da wrde mich auch mal interessieren, wie so eine Signierung erstellt. Knnte ich sehr gut gebrauchen. [...] Gruss Reinhold -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Heise Meldung
Moin Jan! Jan Lühr schrieb am Thursday, den 27. November 2003: keine Ahnung. Daher stellt sich die Frage: Warum werden, im Gegensatz zu MSI auf dem Windows Server 2003 keine Signaturen von Software angewandt um die Echtheit zu bestätigen? Wann raffst du es endlich? Uploads werden signiert, d.h. auch die Prüfsummen der Binär-Pakete. Was glaubst eigentlich, wie man so schnell die neuen 3.0r2-Pakete prüfen konnte? Bitte was? Nach dem LinuxMagazin[1] ist das nicht der Fall - ok, die sind Lern lesen. Ich schrieb nicht Pakete sondern Uploads. Ja, das heisst das .changes -File, wo die md5-Summen stehen und mit einer PGP-Signatur versehen ist. nicht so überragend liegen aber auch selten krass daneben. Danach sind nur md5sums nicht aber signaturen der Maintainer in den Paketen zu finden. md5sums werden in Packages-Files mitgeschleppt, und die md5sums der Packages-Files in Release-Files, und diese sind wiederrum signiert. Schoen, es ist nicht das Verfahren, dass 0815-User zur Überprüfung seines händisch gezogenen Paketes verstehen will, aber es gibt es. MfG, Eduard. -- Wir wollen die Waffen auf dem Fechtboden niederlegen, aber weggeben wollen wir sie nicht. -- Otto von Bismark -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Heise Meldung
Moin Jan! Jan Lühr schrieb am Thursday, den 27. November 2003: Lern lesen. Ich schrieb nicht Pakete sondern Uploads. Ja, das hast geschrieben. Ich rege aber auch Signaturen in den Paketen an. Und ich habe geschrieben, dass die Signaturen _von_ Paketen implizit existieren, und zwar durch den genannten Pfad über md5sums und signiertes Release-File. Die Signaturen sind nicht _im_ Paket selbst, das ist richtig, aber solange man offiziele Pakete nimmt, ist die Authentizität nachvollziehbar. Ja, das heisst das .changes -File, wo die md5-Summen stehen und mit einer PGP-Signatur versehen ist. Was sinnvoll ist, bei einzeln mit dpkg installierten Paketen jedoch nicht viel bringt. z.B. könnte ich nicht sagen, ob die deb zu ssh echt oder nicht echt ist. Dann installiere einfach keine Wald-und-Wiesenpakete aus unbekannten Quellen. Können wir bitte auf persönliche Deformierungen verzichten? Ich mache es auch nicht. Du hast in einer ziemlich trollhaften Weise argumentiert, sorry. nicht so überragend liegen aber auch selten krass daneben. Danach sind nur md5sums nicht aber signaturen der Maintainer in den Paketen zu finden. md5sums werden in Packages-Files mitgeschleppt, und die md5sums der Packages-Files in Release-Files, und diese sind wiederrum signiert. Schoen, es ist nicht das Verfahren, dass 0815-User zur Überprüfung seines händisch gezogenen Paketes verstehen will, aber es gibt es. Was spräche dann gegen die Einführung eines solchen Systems? Zusätzlicher Aufwand und diverse andere Gründe. Um das bestehende System benutzbarer zu machen, gibt es APT secure. http://monk.debian.net/apt-secure/ Ansonsten, was ich viel lieber sehen würde, wäre eine Erweiterung des existierenden debsums-Verfahrens: eine signierte Liste von Prüfsummen _aller_ Dateien des Pakets, abgelegt im Paket selbst. MfG, Eduard. -- Was bis dahin wie ich aussieht, ist nur meine Verpackung. -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Heise Meldung
Marc Haber [EMAIL PROTECTED] wrote: On Wed, 26 Nov 2003 00:55:01 +0100, Dirk Prösdorf [EMAIL PROTECTED] wrote: Marc Haber [EMAIL PROTECTED] wrote: Nichtsdestotrotz hätte ich gerne ein Kochrezept, um mich selbst davon überzeugen zu können dass die Packages im Archiv noch die sind, die die Maintainer damals hochgeladen haben. man md5sum Gibst Du mir vertrauenswürdige Referenzsummen? Definiere vertrauenswürdig und warum die vom Debian Projekt jetzt nicht mehr vertrauenswürdig sind, aber zuvor waren. Sorry, aber ich habe doch in der Praxis immer das Problem, dass ich jemanden 'vertrauen' muss, wenn ich Software einsetzte. Ja, zzt. habe ich da auch meine Probleme, was das Pool-Repository angeht, aber im Kern kann ich jetzt nur abwachten, dass die Admins des Projektes den Bericht vorlegen, was sie zur Sicherung unternommen haben. Ansonsten hätte man halt [EMAIL PROTECTED] subscriben müssen um nun alles, was nicht auf CD vorliegt, zu schecken (und damit den jeweiligen Maintainer zu vertrauen). Das soetwas mal passieren konnte, ist ja nun nicht wirklich die große Überraschung und da hätte man sich entweder selber drauf vorbereiten müssen oder aber halt nicht. -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Heise Meldung
On Wed, 26 Nov 2003 11:32:50 +0100, Dirk Prösdorf [EMAIL PROTECTED] wrote: Marc Haber [EMAIL PROTECTED] wrote: man md5sum Gibst Du mir vertrauenswürdige Referenzsummen? Definiere vertrauenswürdig und warum die vom Debian Projekt jetzt nicht mehr vertrauenswürdig sind, aber zuvor waren. Die Server wurden kompromittiert, und es ist davon auszugehen, dass der Cracker auch auf auric mindestens user-access hatte. Ja, zzt. habe ich da auch meine Probleme, was das Pool-Repository angeht, aber im Kern kann ich jetzt nur abwachten, dass die Admins des Projektes den Bericht vorlegen, was sie zur Sicherung unternommen haben. Richtig. Ansonsten hätte man halt [EMAIL PROTECTED] subscriben müssen um nun alles, was nicht auf CD vorliegt, zu schecken (und damit den jeweiligen Maintainer zu vertrauen). Genau diese Prüfung läuft hier gerade. Grüße Marc -- -- !! No courtesy copies, please !! - Marc Haber |Questions are the | Mailadresse im Header Karlsruhe, Germany | Beginning of Wisdom | Fon: *49 721 966 32 15 Nordisch by Nature | Lt. Worf, TNG Rightful Heir | Fax: *49 721 966 31 29 -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Heise Meldung
Marc Haber [EMAIL PROTECTED] wrote: On Wed, 26 Nov 2003 11:32:50 +0100, Dirk Prösdorf [EMAIL PROTECTED] wrote: Definiere vertrauenswürdig und warum die vom Debian Projekt jetzt nicht mehr vertrauenswürdig sind, aber zuvor waren. Die Server wurden kompromittiert, und es ist davon auszugehen, dass der Cracker auch auf auric mindestens user-access hatte. Und es gibt die Aussage, dass das Pool-Repository nicht angegriffen wurde. Ist also für mich schon die Frage, warum man der Aussage, dass Pool in Ordnung ist nun weniger vertraut als letzte Woche? (OK, es geht mir ja selber so, aber irgend wie komme ich mir dabei auch etwas irrational vor, aber ich würde halt gerne wissen, worauf diese Aussage aufbaut.) Ansonsten hätte man halt [EMAIL PROTECTED] subscriben müssen um nun alles, was nicht auf CD vorliegt, zu schecken (und damit den jeweiligen Maintainer zu vertrauen). Genau diese Prüfung läuft hier gerade. Schön sind da aber auch Backups von /var/lib/apt/lists. Die ich dann wohl man am Wochenende per Script mit dem aktuellen Stand vergleichen werde, wenn ich sie aus dem Backup beim $KUNDEN raus geholt habe. -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Heise Meldung
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 ja hallo erstmal,... Am Dienstag, 25. November 2003 18:30 schrieb frank paulsen: Jan Lühr [EMAIL PROTECTED] writes: Ich lese es gerade auch. Was geht hier eigentlich vor sich? Hat jemand Hintergrundinfos? http://www.wiggy.net/debian/status/ danke, ich meinte weitegehende. Das ist noch sehr allgemein. - Wenn die Debian-Server nicht sicher sind, wie kann das Debian-Security-System noch vertrauenswürdig sein. Wie kann ohne Vertrauen Sicherheit stattfinden? ist doch ganz einfach: entweder du vertraust den leuten, dass die brocken sicher sind, oder du laesst es. YGWYPF. - Wenn es Debian nicht einmal schafft ihre eigenen Server sicher zu halten, wie sollte dann ihre Distribution sicher sein? Das stinkt förmlich nach unfähigkeit seitens der Debianer. hmm. du _musst_ nicht mit Debian arbeiten. Nein. Aber dennoch stellt sich die Frage: Warum gibt es beim security-service keine gpg Signaturen für die Pakete? Wenn die Pakete auf einem nicht mit dem Internetverbundenen System gebaut werden und dann erst nach Erstellung einer Signatur hochgeladen werden, hätte das Problem in diesem Bereich viel Begrenztere Ausmaße angenommen. bisher sieht es so aus, als ob mindestens einer der maintainer mist gebaut hat, mit fatalen folgen fuer vier server. es sieht auch so aus, als ob das archiv davon nicht betroffen ist. Das sieht auch so - nach an mich gedrungenen Gerüchte soll ein Kennwort bekannt gewesen sein. Warum ist eine Verbindung mit Kennwort möglich, wenn RSA based Authentication und SSL-Client-Zertifikate seid Jahren erprobt sind? wenn man eine Distribution mit sicherheitsgarantie und ggf. einklagbaren regressanspruechen haben will, muss man sich halt eine kaufen, oder selbst eine machen. mit noergeleien und verbalinjurien erreicht man nur, dass noch mehr leute genervt sind. Ehm. Mir geht es um das in Frage stellen des Status-Quo sowie um das ansprechen auf Missstände. Nicht um Nörgeleien. Meine Ausgangsnachricht war jedoch leicht metaphorisch, was wohl nach hinten losgegangen zu sein scheint. Sorry, beleidigungen waren nicht meine Absicht. Keep smiling yanosz -BEGIN PGP SIGNATURE- Version: GnuPG v1.2.3 (GNU/Linux) iQIVAwUBP8TNZdAHMQ8GQaYRAQIR3xAAu2HpYeixtIQ4fCjXPmfbTYDq1y5J9Wfa Nix5tTFeHuiZC+APYr8v2PKIXtjhTjJW99fR76pD9JloGl7JXIjFGLh8+8fJXofQ K9jRSQKA1m7RWcMrqBaskm5/CB0Pgk4WfqCIZyZj9iv4voJA3EtUxAw9pRLecQe9 ttOMjqcLSQdqENTcBVHMLzohl9TatQhWc+bskMUuoDJxhlCmUl6jlu0pLkV6Bc45 ROOOyCarg0FAG5KQHe5Y6Tf/gmbsBzz+C3oyKBE3h904/iwkC4DYL42x4byoA5gO UIR4YhY8cM3xcv+Vact9WXyTCVxLfWQ+6ubfk5TtCwVrGIl3k6t+Lr0thxc8TOjq 4ai9c7d08gUhF9jzGZl0vD7fIjmuZ74NAyKr/9iqeUf417SGM2ImeUXl54zjNZ16 Dikk3YMimOs2UM/B2r5+jPQlNczBt89Av62qfvWtXE5qm1m4F32sGApLwJ5h+JGC NnYKvUc7jc5OIIR/fwpricTlLYIPyrAFlAp0+Q3/qQ/4gd+O3pjaVe7/vSTPKmUH tl12rNKuIpLe7MkkGAR4qqLXKBB2hm91ibEpc4rMP+8G7ED9N+4U38lVm8QmKpId x5kbOE/KZf4fp7bq+K6bwTe90FHEzTFZnlxoBUsIDMXplrFvLzwbukOsvxzrRyDk PA0UhII2zfc= =JTb0 -END PGP SIGNATURE- -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Heise Meldung
On Wed, Nov 26, 2003 at 04:57:18PM +0100, Jan Lühr wrote: http://www.wiggy.net/debian/status/ danke, ich meinte weitegehende. Das ist noch sehr allgemein. Was erwartest Du? Dass sie eine Anleitung zum Cracken ins Netz stellen oder dass die erstmal die Rechner wieder ans Laufen bekommen? du _musst_ nicht mit Debian arbeiten. Nein. Aber dennoch stellt sich die Frage: Warum gibt es beim security-service keine gpg Signaturen für die Pakete? Wenn die Pakete auf einem nicht mit dem Internetverbundenen System gebaut werden und dann erst nach Erstellung einer Signatur hochgeladen werden, hätte das Problem in diesem Bereich viel Begrenztere Ausmaße angenommen. Wenn es so einfach waere, gaebe es das sicherlich schon. Da es diese Signaturen nicht gibt, scheint es offensichtlich nicht so einfach zu sein. Wenn du mehr weisst als die Debian Developer, dann solltest Du vielleicht dein Wissen den zustaendigen Leuten zukommen lassen, damit diese mit deiner Hilfe genau dies implementieren koennen. Andernfalls solltest du vielleicht den Leuten die Arbeit ueberlassen, die sich damit auskennen? bisher sieht es so aus, als ob mindestens einer der maintainer mist gebaut hat, mit fatalen folgen fuer vier server. es sieht auch so aus, als ob das archiv davon nicht betroffen ist. Das sieht auch so - nach an mich gedrungenen Gerüchte soll ein Kennwort bekannt gewesen sein. Warum ist eine Verbindung mit Kennwort möglich, wenn RSA based Authentication und SSL-Client-Zertifikate seid Jahren erprobt sind? Geruechte sind Geruechte sind Geruechte. -- Ciao... // Ingo \X/ -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Heise Meldung
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 ja hallo erstmal,... Am Mittwoch, 26. November 2003 17:35 schrieb Ingo Juergensmann: On Wed, Nov 26, 2003 at 04:57:18PM +0100, Jan Lühr wrote: http://www.wiggy.net/debian/status/ danke, ich meinte weitegehende. Das ist noch sehr allgemein. Was erwartest Du? Dass sie eine Anleitung zum Cracken ins Netz stellen oder dass die erstmal die Rechner wieder ans Laufen bekommen? Nein. Nur detaillierte Infos. Da dort steht, dass die Infos am Mittwoch kommen, wollte ich fragen, ob jemand vorab schon was weiß. Das ist alles. du _musst_ nicht mit Debian arbeiten. Nein. Aber dennoch stellt sich die Frage: Warum gibt es beim security-service keine gpg Signaturen für die Pakete? Wenn die Pakete auf einem nicht mit dem Internetverbundenen System gebaut werden und dann erst nach Erstellung einer Signatur hochgeladen werden, hätte das Problem in diesem Bereich viel Begrenztere Ausmaße angenommen. Wenn es so einfach waere, gaebe es das sicherlich schon. Da es diese Signaturen nicht gibt, scheint es offensichtlich nicht so einfach zu sein. Diese Schlussfolgerung ist so gesehen nicht möglich, da menschliche Handlungsweisen nicht logisch sind. Auch wird das offensichtliche häufig übersehen. Wenn du mehr weisst als die Debian Developer, dann solltest Du vielleicht dein Wissen den zustaendigen Leuten zukommen lassen, damit diese mit deiner Hilfe genau dies implementieren koennen. Ich maße mir nicht an mehr zu wissen als die Developer. Eine Einführung eines solchen Systems ist meiner Meinung nach eher eine politische Entscheidung als eine praktische. Andernfalls solltest du vielleicht den Leuten die Arbeit ueberlassen, die sich damit auskennen? Das mache ich auch. bisher sieht es so aus, als ob mindestens einer der maintainer mist gebaut hat, mit fatalen folgen fuer vier server. es sieht auch so aus, als ob das archiv davon nicht betroffen ist. Das sieht auch so - nach an mich gedrungenen Gerüchte soll ein Kennwort bekannt gewesen sein. Warum ist eine Verbindung mit Kennwort möglich, wenn RSA based Authentication und SSL-Client-Zertifikate seid Jahren erprobt sind? Geruechte sind Geruechte sind Geruechte. Jep. Daher frage ich nach Infos. Keep smiling yanosz -BEGIN PGP SIGNATURE- Version: GnuPG v1.2.3 (GNU/Linux) iQIVAwUBP8Ta9tAHMQ8GQaYRAQLQtxAAm32VC5xgtSIfGUGvQKA0Nz006oDpramd OPrL8hgdxu0+FVGeVg9CV+EoQKgqaV+KHvBqAueHDarUz0zGmzXYRNvvub/6kwkj 1AlibLZUe2dP0Mn3pjdHScIMX0PGq/r0pc+F+Pb6qbUbSDkV5grraT/R9wX8NRfO 50ZnELsXhWIrGFQinfgIxl9cPIvCjJbnvFKE8FDGIvdgXGhvATln7I+QMfhNkCVu 082zDDqH8XGeK8EreUVotIX6fQ1iTXvKU4EOVC6Bn4ApYjVHca4eQ6BIMWmkvAcq mSqI5pUcscX+Oi2/oc+Xtp7aLaQz7dcyUcLtUVHStJeYNeFbQZ9M/fAKy9kB4k2F oR4s/WOsiA5CYDIvLrH2BXLDhkJol1rkriRfwcVFCXe0tIlRF8JO8RAVe39M2G/J FOoWSNE3Ud99WS7IWwopPtNE9qL7EhJPKC3+ug1ObY/2kgZKqISuqtTionpAsm7q 2pZLkwipINRiIm0zV8sisbrKvBtCh/H+yhvv6mM1nWhb+lFxZJ5ff4Z1V1yC7TEu F6LqBewXkfTXEDcEl3jP72kC4v3WWdZair7QczcwEswEjv7AlDvGWlyE165nmQGC 2iXeQNadt+pNxJhBRhCwjxVQF8m5ZaznckBCIF4HpLuH7HxZ2DlTpeZvmrs/7RUI M8Yb37Q2vWU= =aOw9 -END PGP SIGNATURE- -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Heise Meldung
On Wed, Nov 26, 2003 at 05:55:12PM +0100, Jan Lühr wrote: Am Mittwoch, 26. November 2003 17:35 schrieb Ingo Juergensmann: Wenn du mehr weisst als die Debian Developer, dann solltest Du vielleicht dein Wissen den zustaendigen Leuten zukommen lassen, damit diese mit deiner Hilfe genau dies implementieren koennen. Ich maße mir nicht an mehr zu wissen als die Developer. Eine Einführung eines solchen Systems ist meiner Meinung nach eher eine politische Entscheidung als eine praktische. Und welche Idee sollte Deiner Meinung nach von den Debian-Developern damit verfolgt werden, eine Verbesserung aus politischen Gründen zu verweigern? Welche Politik sollte dahinter stehen? *grübel*, -billy -- Meisterbohne Meisterbohne GbR, Küfner, Mekle, Meier Tel: +49-731-399 499-0 eLösungen Söflinger Straße 100 Fax: +49-731-399 499-9 89077 Ulm http://www.meisterbohne.de/ -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Heise Meldung
Patrick Petermair [EMAIL PROTECTED] wrote: Patrick Cornelissen wrote: Mehr unter: http://www.heise.de/security/news/meldung/42258 Soeben gabs auche eine offizielle Debian Mail von Martin Schulze: The Debian Projecthttp://www.debian.org/ Some Debian Project machines compromised[EMAIL PROTECTED] November 21st, 2003 Some Debian Project machines have been compromised liegt auch hier http://cert.uni-stuttgart.de/files/fw/debian-security-20031121.txt Heino -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Heise Meldung
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 ja hallo erstmal,... Am Mittwoch, 26. November 2003 19:23 schrieb Philipp Meier: On Wed, Nov 26, 2003 at 05:55:12PM +0100, Jan Lühr wrote: Am Mittwoch, 26. November 2003 17:35 schrieb Ingo Juergensmann: Wenn du mehr weisst als die Debian Developer, dann solltest Du vielleicht dein Wissen den zustaendigen Leuten zukommen lassen, damit diese mit deiner Hilfe genau dies implementieren koennen. Ich maße mir nicht an mehr zu wissen als die Developer. Eine Einführung eines solchen Systems ist meiner Meinung nach eher eine politische Entscheidung als eine praktische. Und welche Idee sollte Deiner Meinung nach von den Debian-Developern damit verfolgt werden, eine Verbesserung aus politischen Gründen zu verweigern? Welche Politik sollte dahinter stehen? keine Ahnung. Daher stellt sich die Frage: Warum werden, im Gegensatz zu MSI auf dem Windows Server 2003 keine Signaturen von Software angewandt um die Echtheit zu bestätigen? Hier scheint mir M$ Debian um einiges vorraus zu seien. Keep smiling yanosz -BEGIN PGP SIGNATURE- Version: GnuPG v1.2.3 (GNU/Linux) iQIVAwUBP8UModAHMQ8GQaYRAQI1fg/+P0K4i5lJXB1mIlpJ5QYrdkVDgXyxdo3v ZbUx8Y9Lq/fKcX0q1F9qlJRyq4FOASVwU8E747WvBDjyNHcUw8f5DNRQ3ynEce0P kUxYjSRIo1sheEMrMqXUtK/4wZOlWxti39R/LpE5w2S1vRcxLCzxQZl+SYH57B6y rdQmw8EMSM97xtm10w94ULuDhjQA9WjhiWzgF4Om2TdWQYm3bzRhEX0bdYC0aBjw iEZSDCAAmCiG3+an1rfbheHC3A94bYQPHnYvKeitwctQ38uvGLlnJuUNXRgK3KW5 6M8wZxJudN7WdwdMKYTWQNC0p3kvaGCm+jag8hErM+I4H4QsyelyNJG14hMlN0cH CAlHsNN+fn72aNVzY7cUBmVJATSPg8nnK08XYNLsFEmNqejiaLsWaZCI94VFZmlQ 9fdY2bKpeWYks3gVABvcUJKv422ANT/f33vLBruyFzaKxuwlHsRGTQMZUJ6mZp30 wIBug9fzh1Bx7zT/B3qlc0kt4eBwGgxhv82H3g2u43bNhsPKz9qyfRnnUhUwVd61 nGxvMJQLUU1FRyfaTeymT8FJLZHO2ZNeBucLV/wMLobSmVdt3dOfzbFzKgYrk0eY nybQb3dggYdpU/KhguLJDIp9PtSi5evDwN/dwEt7W4P8+lfd5/mTSkGwsW+t2xxM O/acKsMJ88Q= =4O4x -END PGP SIGNATURE- -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Heise Meldung
On Wed, 26 Nov 2003 17:35:53 +0100, you wrote: On Wed, Nov 26, 2003 at 04:57:18PM +0100, Jan Lühr wrote: [...] Nein. Aber dennoch stellt sich die Frage: Warum gibt es beim security-service keine gpg Signaturen für die Pakete? Wenn die Pakete auf einem nicht mit dem Internetverbundenen System gebaut werden und dann erst nach Erstellung einer Signatur hochgeladen werden, hätte das Problem in diesem Bereich viel Begrenztere Ausmaße angenommen. Wenn es so einfach waere, gaebe es das sicherlich schon. Da es diese Signaturen nicht gibt, scheint es offensichtlich nicht so einfach zu sein. Soweit ich in diesem Zusammenhang in anderen Quellen gelesen habe, sind Source-Pakete signiert - nur halt die Binaries nicht. Es wäre wünschenswert, wenn dies auch für Binaries kommen würde, dann wären die Aufräumarbeiten nach einem gerüchteweise entfleuchten Passwort nicht so arbeitsintensiv. Aber mit dem Signieren allein ist es ja auch nicht getan. Als Enduser willst Du ja beispielsweise auch erkennen können, ob die Signatur von einem X-beliebigen kommt oder ob derjenige ein im Debian-Projekt autorisierter Maintainer/Developer ist. Ja, auch das lässt sich einfach machen. Außerdem müssen noch Vorkehrungen getroffen werden, falls ein Schlüssel zurückgerufen wird usw. Und das alles bei den wieviel tausend Paketen? Wie Du siehst ist das ein erheblicher Verwaltungsaufwand, den man wohl bis jetzt gescheut hat. Michael -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Heise Meldung
Daniel Leidert wrote: Hallo Patrick Cornelissen, Du schriebst: Ich hatte mich diese Nacht schon gewundert, warum von einer Sekunde auf die nächste http://security.debian.org nicht mehr verfügbar war. Auf welcher Seite stellt Debian Informationen zur Verfügung, wie tief mögliche Manipulationen reichten und wann alle Teile der Distribution wieder verfügbar sind/sein werden? [EMAIL PROTECTED]:~# apt-get update Hit ftp://ftp.de.debian.org stable/main Packages Hit ftp://ftp.de.debian.org stable/main Release Hit ftp://ftp.de.debian.org stable/non-free Packages Hit ftp://ftp.de.debian.org stable/non-free Release Hit ftp://ftp.de.debian.org stable/contrib Packages Hit ftp://ftp.de.debian.org stable/contrib Release Hit ftp://ftp.de.debian.org stable/main Sources Hit ftp://ftp.de.debian.org stable/main Release Hit ftp://ftp.de.debian.org stable/non-free Sources Hit ftp://ftp.de.debian.org stable/non-free Release Hit ftp://ftp.de.debian.org stable/contrib Sources Hit ftp://ftp.de.debian.org stable/contrib Release 48% [Connecting to non-us.debian.org (194.109.137.218)] . und peng ... da friert er ein ... weiter nur mit ^C -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Heise Meldung
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 ja hallo erstmal,... Am Freitag, 21. November 2003 12:33 schrieb Patrick Cornelissen: Hi! Für die Leute, die nicht unbedingt heise lesen: debian.org gehackt Erste Gerüchte gingen seit heute morgen um, jetzt ist es von den Projektmitgliedern bestätigt: Einige der Server des Linux-Distributionsprojekts Debian wurden in den letzten 24 Stunden gehackt, daher auch die bereits gemeldeten Probleme mit www.debian.org. Mehr unter: http://www.heise.de/security/news/meldung/42258 Ich lese es gerade auch. Was geht hier eigentlich vor sich? Hat jemand Hintergrundinfos? Selbst auf die Gefahr hin, mich auf das Niveau eines Heise-Trolls zu bewegen stellt sich nach dieser Schande die berechtigte Fragen: - - Wenn die Debian-Server nicht sicher sind, wie kann das Debian-Security-System noch vertrauenswürdig sein. Wie kann ohne Vertrauen Sicherheit stattfinden? - - Wenn es Debian nicht einmal schafft ihre eigenen Server sicher zu halten, wie sollte dann ihre Distribution sicher sein? Das stinkt förmlich nach unfähigkeit seitens der Debianer. Keep smiling yanosz - -- Die Datenschützer bitten um Mithilfe https://www.ccc.de/updates/2003/files/poster.big.jpg -BEGIN PGP SIGNATURE- Version: GnuPG v1.2.3 (GNU/Linux) iQIVAwUBP75MasIDVW7yMYGyAQJNeg//fTmkeXimeT18DwZMwIZRz8xzi7eNzhmJ 5zHwA0ai92oi3bcX+hcusju2Sy35qZWmSpDeIF/xmNf9yI3VrL+CUa4Ua/S2+9i/ QZ8n+h4la/+JQHAVGZBruHrnVX/ctEy3qZKg/sbsZpiK7xTjOe1jKQUnj5QsTXq+ w2rb5iJ+othbc+q+BZQmVnWlZs4vQxLz8J+LuA2nrXEtliDA5xEZnrxnG6LCCspp 6B11i5aBJGnNWN8RUxgNiRduN/z0W1FYFCtZP4vLcK3FVHnB5lQKqs2NX4mjSDL+ IUH/AwiuD0Cjb4uXSuNBUuSvEgb6t+Rcm6To6ZtMsVQacJLcpskOmiqv/NpjWqy8 WTYkg+wrHLGqFpC/U8BApxKdxIglYqBPOK6tiiyUqqfCDYL3UEPbmNXajSloMYEl UfnayrMS6fB3tUh7mSqOeR7Bur78OsUwOeHmMBbCjp9xSZbrAu2ingHvdDgb82PZ ZoupqiIieQ8XR+KnSrZtlXE3yAAZFe/TPTXp4FNNndPP+35vcbL+ER+xflDaM4bH NMBviCoaXw1vHkmf/+lcDg7+5dY06qwsBT/09c3WqVPDI6ISESYGJxjhj8dcJwiY 4Lc+1c6iPs0Wn46hgjcKJbnLcVdPNfsD3G0Ad4V+NdxxhjXl2tU6Ubh3oINSGLiX /CTL1xaXKoY= =IT5S -END PGP SIGNATURE- -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Heise Meldung
Am 21.11.2003 schrieb Andreas Metzler [EMAIL PROTECTED]: [...] Educated guess Sobald wir naeheres wissen, wird es mehr auf debian-announce, geben, wenn das originale www.debian.org wieder laeuft (gluck?) wird sich wohl ein fetter Hinweis mit Link auf der Einstiegsseite finden / Meines Wissens weiss bis dato einfach noch niemand genaueres. cu andreas Guckst du hier zb. [EMAIL PROTECTED] [Quote] Das Debian-Projekt http://www.debian.org/ Einige Rechner des Debian-Projekts kompromitiert [EMAIL PROTECTED] 21. November 2003 Dies ist ein sehr bedauerliches Ereignis, über das wir berichten müssen. Einige Debian-Server wurden in den letzten 24 Stunden kompromitiert. Das Archiv ist von dieser Kompromitierung nicht betroffen! Im Speziellen sind die folgenden Rechner betroffen: * master (Fehlerdatenbank) * murphy (Mailing-Listen) * gluck (web, cvs) * klecker (security, non-us, web search, www-master, qa) Einige dieser Dienste sind im Augenblick nicht verfügbar, da die Rechner genauer überprüft werden. Einige Dienste wurden auf andere Rechner verlagert (zum Beispiel www.debian.org). Das Sicherheitsarchiv wird gegen vertraute Quellen geprüft, bevor es wieder verfügbar gemacht wird. Bitte beachten Sie, dass wir kürzlich eine neue Überarbeitung für Debian GNU/Linux 3.0 (woody) vorbereitet haben, Release 3.0r2. Während dies noch nicht angekündigt ist, ist sie bereits auf den Spiegelservern vorhanden. Die Ankündigung wurde heute morgen angesetzt, wurde aber zurückgestellt. Diese Überarbeitung wurde auch geprüft und ist nicht von der Kompromitierung betroffen. Wir entschuldigen uns für Unterbrechungen von einigen Diensten während der nächsten Tage. Wir arbeiten an der Wiederherstellung der Dienste und an der Prüfung der Inhalte unserer Archive. [/quote] -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Heise Meldung
Jan Lühr [EMAIL PROTECTED] writes: Ich lese es gerade auch. Was geht hier eigentlich vor sich? Hat jemand Hintergrundinfos? http://www.wiggy.net/debian/status/ - Wenn die Debian-Server nicht sicher sind, wie kann das Debian-Security-System noch vertrauenswürdig sein. Wie kann ohne Vertrauen Sicherheit stattfinden? ist doch ganz einfach: entweder du vertraust den leuten, dass die brocken sicher sind, oder du laesst es. YGWYPF. - Wenn es Debian nicht einmal schafft ihre eigenen Server sicher zu halten, wie sollte dann ihre Distribution sicher sein? Das stinkt förmlich nach unfähigkeit seitens der Debianer. hmm. du _musst_ nicht mit Debian arbeiten. bisher sieht es so aus, als ob mindestens einer der maintainer mist gebaut hat, mit fatalen folgen fuer vier server. es sieht auch so aus, als ob das archiv davon nicht betroffen ist. wenn man eine Distribution mit sicherheitsgarantie und ggf. einklagbaren regressanspruechen haben will, muss man sich halt eine kaufen, oder selbst eine machen. mit noergeleien und verbalinjurien erreicht man nur, dass noch mehr leute genervt sind. -- frobnicate foo -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Heise Meldung
Jan Lühr schrieb: -BEGIN PGP SIGNED MESSAGE- Hash: SHA1 ja hallo erstmal,... Am Freitag, 21. November 2003 12:33 schrieb Patrick Cornelissen: Hi! Für die Leute, die nicht unbedingt heise lesen: debian.org gehackt Erste Gerüchte gingen seit heute morgen um, jetzt ist es von den Projektmitgliedern bestätigt: Einige der Server des Linux-Distributionsprojekts Debian wurden in den letzten 24 Stunden gehackt, daher auch die bereits gemeldeten Probleme mit www.debian.org. Mehr unter: http://www.heise.de/security/news/meldung/42258 Ich lese es gerade auch. Was geht hier eigentlich vor sich? Hat jemand Hintergrundinfos? Selbst auf die Gefahr hin, mich auf das Niveau eines Heise-Trolls zu bewegen stellt sich nach dieser Schande die berechtigte Fragen: - - Wenn die Debian-Server nicht sicher sind, wie kann das Debian-Security-System noch vertrauenswürdig sein. Wie kann ohne Vertrauen Sicherheit stattfinden? Hast Du mehr Vertrauen in OS-Anbieter die Sicherheitslücken (fast?) immer erst schließen, wenn Dritte darauf hinweisen, glaubst Du komerzielle Softwareproduzenten würden (wenn überhaupt) freiwillig und umgehend einen Hack ihrer Server öffentlich machen - - Wenn es Debian nicht einmal schafft ihre eigenen Server sicher zu halten, wie sollte dann ihre Distribution sicher sein? Das stinkt förmlich nach unfähigkeit seitens der Debianer. absulut sichere Server gibt es nicht, wird es nie geben. Server kosten GELD für Hardware und ARBEITSZEIT für die Administration . also Spende was dem Debianprojekt und beteilige dich aktiv, so kanst du was ändern.. und als Teil des Debianprojektes den Stempel Unfähig aufgesetzt bekommen. Gruß Martin Keep smiling yanosz - -- Die Datenschützer bitten um Mithilfe https://www.ccc.de/updates/2003/files/poster.big.jpg -BEGIN PGP SIGNATURE- Version: GnuPG v1.2.3 (GNU/Linux) iQIVAwUBP75MasIDVW7yMYGyAQJNeg//fTmkeXimeT18DwZMwIZRz8xzi7eNzhmJ 5zHwA0ai92oi3bcX+hcusju2Sy35qZWmSpDeIF/xmNf9yI3VrL+CUa4Ua/S2+9i/ QZ8n+h4la/+JQHAVGZBruHrnVX/ctEy3qZKg/sbsZpiK7xTjOe1jKQUnj5QsTXq+ w2rb5iJ+othbc+q+BZQmVnWlZs4vQxLz8J+LuA2nrXEtliDA5xEZnrxnG6LCCspp 6B11i5aBJGnNWN8RUxgNiRduN/z0W1FYFCtZP4vLcK3FVHnB5lQKqs2NX4mjSDL+ IUH/AwiuD0Cjb4uXSuNBUuSvEgb6t+Rcm6To6ZtMsVQacJLcpskOmiqv/NpjWqy8 WTYkg+wrHLGqFpC/U8BApxKdxIglYqBPOK6tiiyUqqfCDYL3UEPbmNXajSloMYEl UfnayrMS6fB3tUh7mSqOeR7Bur78OsUwOeHmMBbCjp9xSZbrAu2ingHvdDgb82PZ ZoupqiIieQ8XR+KnSrZtlXE3yAAZFe/TPTXp4FNNndPP+35vcbL+ER+xflDaM4bH NMBviCoaXw1vHkmf/+lcDg7+5dY06qwsBT/09c3WqVPDI6ISESYGJxjhj8dcJwiY 4Lc+1c6iPs0Wn46hgjcKJbnLcVdPNfsD3G0Ad4V+NdxxhjXl2tU6Ubh3oINSGLiX /CTL1xaXKoY= =IT5S -END PGP SIGNATURE- -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Heise Meldung
On Tue, 25 Nov 2003 18:30:11 +0100, frank paulsen [EMAIL PROTECTED] wrote: bisher sieht es so aus, als ob mindestens einer der maintainer mist gebaut hat, mit fatalen folgen fuer vier server. es sieht auch so aus, als ob das archiv davon nicht betroffen ist. wenn man eine Distribution mit sicherheitsgarantie und ggf. einklagbaren regressanspruechen haben will, muss man sich halt eine kaufen, oder selbst eine machen. mit noergeleien und verbalinjurien erreicht man nur, dass noch mehr leute genervt sind. Nichtsdestotrotz hätte ich gerne ein Kochrezept, um mich selbst davon überzeugen zu können dass die Packages im Archiv noch die sind, die die Maintainer damals hochgeladen haben. Und die Mailinglisten-Queue vom Wochenende nachgeliefert. Grüße Marc -- -- !! No courtesy copies, please !! - Marc Haber |Questions are the | Mailadresse im Header Karlsruhe, Germany | Beginning of Wisdom | Fon: *49 721 966 32 15 Nordisch by Nature | Lt. Worf, TNG Rightful Heir | Fax: *49 721 966 31 29 -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Heise Meldung
Marc Haber [EMAIL PROTECTED] wrote: Nichtsdestotrotz hätte ich gerne ein Kochrezept, um mich selbst davon überzeugen zu können dass die Packages im Archiv noch die sind, die die Maintainer damals hochgeladen haben. man md5sum -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Heise Meldung
On Wed, 26 Nov 2003 00:55:01 +0100, Dirk Prösdorf [EMAIL PROTECTED] wrote: Marc Haber [EMAIL PROTECTED] wrote: Nichtsdestotrotz hätte ich gerne ein Kochrezept, um mich selbst davon überzeugen zu können dass die Packages im Archiv noch die sind, die die Maintainer damals hochgeladen haben. man md5sum Gibst Du mir vertrauenswürdige Referenzsummen? Grüße Marc -- -- !! No courtesy copies, please !! - Marc Haber |Questions are the | Mailadresse im Header Karlsruhe, Germany | Beginning of Wisdom | Fon: *49 721 966 32 15 Nordisch by Nature | Lt. Worf, TNG Rightful Heir | Fax: *49 721 966 31 29 -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Heise Meldung
Hi! Für die Leute, die nicht unbedingt heise lesen: debian.org gehackt Erste Gerüchte gingen seit heute morgen um, jetzt ist es von den Projektmitgliedern bestätigt: Einige der Server des Linux-Distributionsprojekts Debian wurden in den letzten 24 Stunden gehackt, daher auch die bereits gemeldeten Probleme mit www.debian.org. Mehr unter: http://www.heise.de/security/news/meldung/42258 -- Bye, Patrick Cornelissen http://www.p-c-software.de http://www.pnCommerce.de -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Heise Meldung
Patrick Cornelissen wrote: Mehr unter: http://www.heise.de/security/news/meldung/42258 Soeben gabs auche eine offizielle Debian Mail von Martin Schulze: The Debian Projecthttp://www.debian.org/ Some Debian Project machines compromised[EMAIL PROTECTED] November 21st, 2003 Some Debian Project machines have been compromised This is a very unfortunate incident to report about. Some Debian servers were found to have been compromised in the last 24 hours. The archive is not affected by this compromise! In particular the following machines have been affected: . master (Bug Tracking System) . murphy (mailing lists) . gluck (web, cvs) . klecker (security, non-us, web search, www-master) Some of these services are currently not available as the machines undergo close inspection. Some services have been moved to other machines (www.debian.org for example). The security archive will be verified from trusted sources before it will become available again. Please note that we have recently prepared a new point release for Debian GNU/Linux 3.0 (woody), release 3.0r2. While it has not been announced yet, it has been pushed to our mirrors already. The announcement was scheduled for this morning but had to be postponed. This update has now been checked and it is not affected by the compromise. We apologise for the disruptions of some services over the next few days. We are working on restoring the services and verifying the content of our archives. -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Heise Meldung
Hallo Patrick Cornelissen, Du schriebst: Für die Leute, die nicht unbedingt heise lesen: debian.org gehackt Erste Gerüchte gingen seit heute morgen um, jetzt ist es von den Projektmitgliedern bestätigt: Einige der Server des Linux-Distributionsprojekts Debian wurden in den letzten 24 Stunden gehackt, daher auch die bereits gemeldeten Probleme mit www.debian.org. Mehr unter: http://www.heise.de/security/news/meldung/42258 Ich hatte mich diese Nacht schon gewundert, warum von einer Sekunde auf die nächste http://security.debian.org nicht mehr verfügbar war. Auf welcher Seite stellt Debian Informationen zur Verfügung, wie tief mögliche Manipulationen reichten und wann alle Teile der Distribution wieder verfügbar sind/sein werden? BTW: Ob das wohl die ersten Maßnahmen nach http://www.heise.de/newsticker/data/boi-13.11.03-003/ sind? (SCNR) MfG Daniel -- -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Heise Meldung
On Fri, Nov 21, 2003 at 12:33:16PM +0100, Patrick Cornelissen wrote: Hi! Für die Leute, die nicht unbedingt heise lesen: debian.org gehackt Erste Gerüchte gingen seit heute morgen um, jetzt ist es von den Projektmitgliedern bestätigt: Einige der Server des Linux-Distributionsprojekts Debian wurden in den letzten 24 Stunden gehackt, daher auch die bereits gemeldeten Probleme mit www.debian.org. Mehr unter: http://www.heise.de/security/news/meldung/42258 http://cert.uni-stuttgart.de/files/fw/debian-security-20031121.txt Bye, Patrick Cornelissen gruss f -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Heise Meldung
On Fri, Nov 21, 2003 at 01:31:39PM +0100, Daniel Leidert wrote: Hallo Patrick Cornelissen, Du schriebst: Für die Leute, die nicht unbedingt heise lesen: debian.org gehackt [...] Mehr unter: http://www.heise.de/security/news/meldung/42258 Ich hatte mich diese Nacht schon gewundert, warum von einer Sekunde auf die nächste http://security.debian.org nicht mehr verfügbar war. Auf welcher Seite stellt Debian Informationen zur Verfügung, wie tief mögliche Manipulationen reichten und wann alle Teile der Distribution wieder verfügbar sind/sein werden? [...] Educated guess Sobald wir naeheres wissen, wird es mehr auf debian-announce, geben, wenn das originale www.debian.org wieder laeuft (gluck?) wird sich wohl ein fetter Hinweis mit Link auf der Einstiegsseite finden / Meines Wissens weiss bis dato einfach noch niemand genaueres. cu andreas -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)