Re: Stable unsicher?
Am Sonntag, 18. April 2004 21:16 schrieb Michelle Konzack: Richtig, nur meinte ich nicht die Pop-Ups sondern die WebeBanner Ah, verstehe. Ja, die sind lästig, vor allem wenn sie so rumzappeln. Das nervt beim Heise-Ticker auch ziemlich. Das Blockieren der Grafik-Server ist dafür im Mozilla leider nicht fein genug, bei Heise haut man sich so alle Grafiken weg, weil die Banner auf der selben Domain liegen. Grüße, Micha. -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Stable unsicher?
Michael Holtermann schrieb: Ah, verstehe. Ja, die sind lästig, vor allem wenn sie so rumzappeln. Das nervt beim Heise-Ticker auch ziemlich. Das Blockieren der Grafik-Server ist dafür im Mozilla leider nicht fein genug, bei Heise haut man sich so alle Grafiken weg, weil die Banner auf der selben Domain liegen. Es gibt aber eine nette Extension mit der man das feiner einstellen kann. -- Bye, Patrick Cornelissen http://www.p-c-software.de ICQ:15885533 -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Stable unsicher?
Am 2004-04-19 18:20:57, schrieb Michael Holtermann: Am Sonntag, 18. April 2004 21:16 schrieb Michelle Konzack: Richtig, nur meinte ich nicht die Pop-Ups sondern die WebeBanner Ah, verstehe. Ja, die sind lästig, vor allem wenn sie so rumzappeln. Das nervt beim Heise-Ticker auch ziemlich. Das Blockieren der Grafik-Server ist dafür im Mozilla leider nicht fein genug, bei Heise haut man sich so alle Grafiken weg, weil die Banner auf der selben Domain liegen. Dann haste 'adblock' nicht richtig konfiguriert. Denn wenn Du dieses mozilla Plugin hast, kanste nicht nur die Domain angeben sondern auch die Verzeichnisstruktur. ;-) Grüße, Micha. Greetings Michelle -- Registered Linux-User #280138 with the Linux Counter, http://counter.li.org/ -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Stable unsicher?
Moin, Am 2004-04-18 10:35:38, schrieb Jan Lühr: ja hallo erstmal,... Sollte vielleicht, aber ist das praktikabel? Ich sehe die Linux-Nutzung aus reiner Anwendersicht. Man ist nicht ganz unerfahren in der IT-Umgebung, sucht sich das passende OS für seine Ansprüche - und wählt Debian stable. Das allerdings *neben* seinem full-time-Job unbd *hinter* seinem Privatleben. Da bleibt nicht allzu viel Zeit übrig. Keine Zeit für sicherheit ? Da kannste auch bei Windows bleiben... Ehm... sicher. Die Frage ist nur: Wieiviel ist praktikabel. Wenn ich mir die Systemsicherheit ansehe, so ist ein veralteter mozilla zwar ein Problem aber kein Grundsätzliches. Ebend. Und wer EIN BISCHEN die debian-user-german ließt, der weis das er hervorragende mozilla-backports bekommen kann. Btw, der mozilla ist ein Einzelfall. Kaum irgendwelche Pakete in Woody haben einen RC-Bug mit einem gesetzten security-flag. Alle gravierenden Bugs wurden in kürzester Zeit behoben. (Gibt zwar noch ein paar andere Ausnahmen, aber da erreiche ich weder den Upstream noch den Debianmaintainer) Ich behaupte mal, nur diese Liste mehr oder wenig vollständig zu verfolgen, ist dem 0-8-15-User (schon aus Zeitgründen) kaum zuzumuten. Es reicht, die Subjects zu überfliegen. Ok, aber der 0-8-15 Nuzter wird mit stable auch kaum Glücklich werden. Dieser Nutzer schiebt sich alle 4-6 Monate die neueste Knoppix aus der c't auf seine Platte und fertig ist. Kommt darauf an, was für einen Nutzer du hast. Habe gestern meine Debian-Woody-Live-CD fertig bekommen... Bin seitdem am testen. Verwende kein iso9660 sondern ext2 ;-) Krieg mal erst openoffice.org1.1, mozilla und x-window-system auf 650 MBytes. Ich versuche es immerhin noch. Aber zu mehr ist einfach keine Zeit! Als sicherheitsbewusster Anwender habe ich ja Debian stable gewählt und fühlte mich da bisher recht sicher. Genau das ist das Problem. Es heißt Debian stable - und auch wenn es mir Margenkrämpfe bereitet, zitiere ich mal meine Polemik: ick the package out of stable, testing and unstable! Was bedeutet, das Du STABLE installierst und wenn irgendwas aus TESTING oder UNSTABLE hervorragend funktioniert, mußt Du entscheiden, ob Du es haben willst oder nicht. Being in stable implicies security, which is NOT provided. in einem anderen Thread Bedingt richtig... Well, I pointed out that there is not real alternative. Imho the current release policy doesn't support the creation of a secure distribution. Das ist ebenfals bedingt richtig. Glücklicherweise gibt es genug Maintainer die regelmäßig Updates von Backports liefern. Ich selber muß pro Woche rund 4-8 Pakete neu kompilieren weil irgendweilche Fehler in TESTING und UNSTABLE behoben wurden... Ich will nicht sagen das es zwischen TESTING und STABLE einen neuen Zweig geben soll, aber von allen Paketen werden ja auch keine Backports benötigt, sprich, Server wie http://www.backports.org/ sind vollkommend ausreichend, soweit die Backporter nicht zuviele libs aus TESTING/UNSTABLE hinterherziehen (z.B. libfreetype6) Das Problem ist einfach, dass es Debian stable ist und stabil hier auch für Sicherheitslöcher gilt. Ja, es gibt Alternativen (http://www.openwall.com) Glücklicherweise... Wie kommst du auf diese Idee? Gravierende, ungepatchete Sicherheitslöcher gibt es viele, entdeckte kaum welche, und gefixte auch viele. Aber fast alles was gefunden wurde ist auch behoben worden. Das debian-Security team macht einen guten Job, jedoch nicht gut genug im relese-cyclen von 3-4 Jahren auszugleichen. Wieso 3-4 Jahre ? ich habe 03/1999 mit SLINK (2.1r2) angefangen und wir stehen vor WOODY 3.0r3. Ich sehe da keine 3-4 Jahre ! Habe die WOODY 3.0r0 im Juni 2002 gekauft und SARGE soll ja diese Jahr auch noch rauskommen. Also sind es rund 2 Jahre. Solche release-cyclen machen keinen Sinn, wenn sie dazu führen, dass man keine patches mehr aus dem upstream fischen kann - Wie bei mozilla gesehen. Von daher zählt Debian _stable_ für mich zu den unsichersten, ernstzunehmenden Linux Distributinen überhaupt - wohl aber zu den stabilsten. Du hängste es jetzt am Mozilla auf ! Denn kann man überall als Backport herunterladen. Ich habe auch die Binaries von 1.7 installiert gehabt... Also was da an Fehlern behoben werden... Mittlerweile habe ich die 5te oder 6te version davon... Wenn $USER aber Mozilla 1.6 verwendet bekommt er auch die lezten security updates... Ich jedenfals hole mir die lezten Updates von backports.org. Nicht immer bedeutet älter auch ausgereifter. Auch richtig... Greetings Michelle -- Registered Linux-User #280138 with the Linux Counter, http://counter.li.org/ -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Stable unsicher?
Moin Michelle! Am Samstag, 17. April 2004 21:26 schrieb Michelle Konzack: 'adblock' habe ich herausgenommen und es zeigt sich keine Veränderung, mit der Ausnahme das ich wieder massenweise Banners erblicke :-/ Dagegen helfen zum Glück Bordmittel: Preferences - Privacy Security - Popup Windows. Und schon ist man diesen Mist los. Grüße, Micha. -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Stable unsicher?
ja hallo erstmal,... Am Sonntag, 18. April 2004 11:25 schrieb Michelle Konzack: Moin, ... Das debian-Security team macht einen guten Job, jedoch nicht gut genug im relese-cyclen von 3-4 Jahren auszugleichen. Wieso 3-4 Jahre ? ich habe 03/1999 mit SLINK (2.1r2) angefangen und wir stehen vor WOODY 3.0r3. Ich sehe da keine 3-4 Jahre ! Hmm... ich rechne mit Sarge frühestens im Dezember. Das sind fast 3 Jahren (vier Jare waren woll ein wenig übertrieben) Habe die WOODY 3.0r0 im Juni 2002 gekauft und SARGE soll ja diese Jahr auch noch rauskommen. Also sind es rund 2 Jahre. Naja, es _sollte_ auch schon letzte Jahr herauskommen. Solche release-cyclen machen keinen Sinn, wenn sie dazu führen, dass man keine patches mehr aus dem upstream fischen kann - Wie bei mozilla gesehen. Von daher zählt Debian _stable_ für mich zu den unsichersten, ernstzunehmenden Linux Distributinen überhaupt - wohl aber zu den stabilsten. Du hängste es jetzt am Mozilla auf ! Nein, cron hat das gleiche Problem (Keine patches aus dem upstream können genommen werden). Nur dass man hier aufgrund der fehlenden Komplexität besser Hand anlegen kann. Denn kann man überall als Backport herunterladen. Ich habe auch die Binaries von 1.7 installiert gehabt... Also was da an Fehlern behoben werden... Mittlerweile habe ich die 5te oder 6te version davon... Sicher. Wenn $USER aber Mozilla 1.6 verwendet bekommt er auch die lezten security updates... Ich jedenfals hole mir die lezten Updates von backports.org. Nicht immer bedeutet älter auch ausgereifter. Gut, aber das wir backports.org / apt-get.org brauchen um sicherer Systeme zu haben zeigt eigentlich, dass in der Debian-Release-Policy nicht stimmt. Keep smiling yanosz
Re: Stable unsicher?
Jan Lühr [EMAIL PROTECTED] writes: Solche release-cyclen machen keinen Sinn, wenn sie dazu führen, dass man keine patches mehr aus dem upstream fischen kann - Wie bei mozilla gesehen. Von daher zählt Debian _stable_ für mich zu den unsichersten, ernstzunehmenden Linux Distributinen überhaupt - wohl aber zu den stabilsten. Mozilla ist jetzt ein Beispiel - mir fällt gerade kein zweites ein. Demgegenüber eine Menge Pakete, die in der damalig aktuellen Version immer noch gepatcht werden. Ganz vorne der Kernel, immer noch 2.4.18, jedoch mit allen notwenigen Fixes. Das würde ich nicht gerade als unsicher bezeichnen. -- UNIX is like a wigwam, no windows, no gates and an apache inside. -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Stable unsicher?
ja hallo erstmal,... Am Sonntag, 18. April 2004 15:40 schrieb Stephan Windmüller: Jan Lühr [EMAIL PROTECTED] writes: Solche release-cyclen machen keinen Sinn, wenn sie dazu führen, dass man keine patches mehr aus dem upstream fischen kann - Wie bei mozilla gesehen. Von daher zählt Debian _stable_ für mich zu den unsichersten, ernstzunehmenden Linux Distributinen überhaupt - wohl aber zu den stabilsten. Mozilla ist jetzt ein Beispiel - mir fällt gerade kein zweites ein. Demgegenüber eine Menge Pakete, die in der damalig aktuellen Version immer noch gepatcht werden. Es geht hier nicht nur um das patchen an sich sondern um die Möglichkeit patches aus dem upstream zu nutzen, anstatt sie ständig zu backporten. Ganz vorne der Kernel, immer noch 2.4.18, jedoch mit allen notwenigen Fixes. Das würde ich nicht gerade als unsicher bezeichnen. Sicher - das ist außer zweifel. (Wenn man bedenkt, dass ich es für etwas komisch halte, einen so hochpatchten 2.4.18 zu nutzen, weil so nur weitere Probleme mit anderen patches (openwall, grsecurity, etc.) entstehen. Da nutze ich lieber einen 2.4.26. Keep smiling yanosz
Re: Stable unsicher?
ja hallo erstmal,... Am Samstag, 17. April 2004 18:45 schrieb Martin Schmitz: Jan Lühr [EMAIL PROTECTED] writes: Woody ist unsicher - Woody ist unsicher weil verschiedene Pakete sich zu weit vom aktuellen Paket entfernd haben um gepatched werden zu können. Der apache und SSL zählen nicht dazu. Aha. Und was ist z.B. mit: http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2003-0020 Ist Debian davon nicht betroffen? Das NetBSD Security Team teilt einem sowas wenigstens sofort mit, auch wenn es bislang keinen Patch gibt. Nett, das wäre interessant um sich einzulesen. Btw. ich erwäge einen Umstieg auf NetBSD - kommt NetBSD eigentlich mit einer PCI Fritz-ISDN Karte (v2) klar? Von Debian habe ich aber noch nichts gehört. SuSE hat vor ein paar Tagen einen Patch veröffentlicht - zumindest für apache2. Wie ich soebene erfuhr[1] wurde der Bug in testing und stable gelöst. Im Konsons mit dem apache maintainer wird ein backport für woody aber nicht angestrebt, da es wie gesagt nur eine Kleinigkeit und ein generelles Problem ist. Btw. dyndns-adresse? No risk - no fun. Wie? ;) Gut, zugegeben, es ist eine Kleinigkeit. Aber die Politik bei Debian ist es mal wieder, zu schweigen und den Anwendern soetwas erst gar nicht mitzuteilen. Von daher kann man von Debian eigentlich nur abraten. Ehm. Stopp. Mir hat man es mitgeteilt. Es nicht nicht die Politik von Debian sec by obs durchsetzen, sondern einfach das fehlen geeigneter Informationskanäle. Keep smiling yanosz
Re: Stable unsicher?
Am 2004-04-18 13:16:59, schrieb Michael Holtermann: Moin Michelle! Dagegen helfen zum Glück Bordmittel: Preferences - Privacy Security - Popup Windows. Das war das erste, was ich im mozilla einstellte, als es den Pop-Up-Blocker neu hatte (ist schon ne ganze weile her) Und schon ist man diesen Mist los. Richtig, nur meinte ich nicht die Pop-Ups sondern die WebeBanner mit den nackten Frauen die einem vor den Augen immer von einer Seite zur anderen Marschieren... Die Millionen Handys die ich für 9,99 ¤ bekommen kann... Grüße, Micha. Greetings Michelle -- Registered Linux-User #280138 with the Linux Counter, http://counter.li.org/ -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Stable unsicher?
* Stephan Windmüller [EMAIL PROTECTED] wrote: Mozilla ist jetzt ein Beispiel - mir fällt gerade kein zweites ein. Mir aber. Gruß, Marcus -- anger thought so no thought touched inside crazy (disembodied guttural noise need not make sense) -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Stable unsicher?
* Marcus Frings [EMAIL PROTECTED] wrote: Mir aber. Habe vergessen zu relativieren: Im konkreten Fall geht es nicht um nicht zurückportierbaren Code sondern um eine trivial einfach zu schließende Sicherheitslücke. Gruß, Marcus -- The sun shines on the aluminium I guess this must be the home of the hitmen -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Stable unsicher?
Jan Lühr [EMAIL PROTECTED] writes: Mozilla ist jetzt ein Beispiel - mir fällt gerade kein zweites ein. Demgegenüber eine Menge Pakete, die in der damalig aktuellen Version immer noch gepatcht werden. Es geht hier nicht nur um das patchen an sich sondern um die Möglichkeit patches aus dem upstream zu nutzen, anstatt sie ständig zu backporten. Wo ist dabei das Problem, solange es ein Team gibt, welches diese Aufgabe erfüllt? An der Qualität der eigenen Patches gibt es doch nichts auszusetzen. Die Patches aus dem Upstream hingegen benötigen aktuelle Versionen, die vielleicht noch ganz andere Probleme haben. Wer sich für Debian stable entscheidet, ist sich dieser Problematik durchaus bewusst. Ganz vorne der Kernel, immer noch 2.4.18, jedoch mit allen notwenigen Fixes. Das würde ich nicht gerade als unsicher bezeichnen. Sicher - das ist außer zweifel. (Wenn man bedenkt, dass ich es für etwas komisch halte, einen so hochpatchten 2.4.18 zu nutzen, weil so nur weitere Probleme mit anderen patches (openwall, grsecurity, etc.) entstehen. Da nutze ich lieber einen 2.4.26. Richtig, und ich für meinen Teil auch. Aber jemand, der keinen eigenen Kernel bauen kann, sich das nicht zutraut oder aber nicht bei jeder Lücke diese Zeit investieren will, nimmt halt den 2.4.18. Der funktioniert und wird bei aufkommenden Lücken schnell gepatcht. Es wäre nicht Linux, wenn man nicht die Wahl hätte, oder? -- UNIX is like a wigwam, no windows, no gates and an apache inside. -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Stable unsicher?
Jan Lühr wrote: Am Freitag, 16. April 2004 20:15 schrieb Maik Holtkamp: http://lists.debian.org/debian-security/2004/debian-security-200403/msg0008 6.html Lassen wir das bitte schnell wieder im Archiv verschwinden ;) Das finde ich ganz und gar nicht. Ich bin erst durch diesen Link auf die Problematik aufmerksam geworden. Ich benutze woody auch auf Desktop und Notebook - mit Mozilla. Und bin erst neulich auf einen 1.6er Backport umgestiegen, allerdings aus funktionalen Gründen. Aus der Diskussion hinter obigem Link schließe ich, auch den Backport ständig zu upgraden - aus Sicherheitsgründen. Eine indirekte Security-Meldung sollte man doch nicht einfach im Archiv verschwinden lassen. ;-) -- Gruß Rüdiger -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Stable unsicher?
Hallon ihr beiden, Am 2004-04-17 02:30:32, schrieb Maik Holtkamp: Hi, 0n 04/04/[EMAIL PROTECTED]:51 Jan Lühr told me: ja hallo erstmal,... Aber Deinen thread fand ich schon angebracht! War nichr schlecht... Ich selber benutzte woody eigentlich auch nur auch Servern. Da ist woody einfach geil. Bisher habe ich aber auch bei Freunden, die mal Linux probieren wollten, auch woody installiert. Das habe ich auch gemacht, aber allen auch erklärt warum WOODY teilweise alte Programme drin hat. Dann darfste natürlich nicht vergessen denen den Unterschied zwischenstable, testing und unstable (M$-Produkte ;-) ) zu erklären... Ich habe denen auch Backports erklärt und ihnen 'mozilla 1.6' installiert genauso wie openoffice.org1.1 und dazu gleich gewarnt, das da Bugs drinsein können... Das ist IMHO ein Fehler. Aufklärung ! Selbst wenn ich auf mozilla bei der Installation verzichte, ist es doch das erste Programm, dass diejenigen, sobald sie in apt reingerochen haben, installieren. Viele kennen es von MS. Neee, die kennen nur den Infernal Exploder. ;-) Ich bin leider viel zu bloed, um die noetigen Patches selbst liefern zu koennen, aber ich faende es auch bloed meinen Bekannten die mal reinriechen wollen sagen zu muessen: Wenn Du nicht die gleichen Probleme (potentiell) unter Linux bekommen willst, die Du schon unter MS hast, dann lass die Finger von debian. Das ist hard ! Sauber waere es, wenn die Pakete rausfliegen wuerden aus stable. Ein deutlicher Hinweis bei der Erstbenutzung waere IMHO aber das mindeste. Naja... Denke ich nicht, mir währe es lieber, das die Debian-Policy hierbei für einige Programme wie eben 'mozilla' Ausnahmen macht... Dann könnte in 'security' mindestens 1.5 sein. Seit der version 2:1.6-3.backports.org.1 von 'mozilla' habe ich nämlich Probleme nach dem starten, sprich, öffnet voreingestellte Seite (google.de) und beim klicken auf einen Link geht die CPU-load auf 100% hoch und das zwischen 30-70 sekunden. Danach funktioniert alles normal. Habe nur als extensions 'adblock' und 'tabextensions' installiert. Bis jetzt können alle damit leben auch wenns nervt. bye maik Greetings Michelle -- Registered Linux-User #280138 with the Linux Counter, http://counter.li.org/ -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Stable unsicher?
Hi, 0n 04/04/[EMAIL PROTECTED]:30 Maik Holtkamp told me: [etwas auf die Liste was PM fuer Jan gedacht war] 2:30 Uhr, ein paar Drinks Co. waren es auch schon :). Eigentlich sollte l und r weit genug von einander entfernt liegen. Tut mir leid. -- bye maik pgp0.pgp Description: PGP signature
Re: Stable unsicher?
Jan Lühr [EMAIL PROTECTED] writes: Woody ist unsicher - Woody ist unsicher weil verschiedene Pakete sich zu weit vom aktuellen Paket entfernd haben um gepatched werden zu können. Der apache und SSL zählen nicht dazu. Aha. Und was ist z.B. mit: http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2003-0020 Ist Debian davon nicht betroffen? Das NetBSD Security Team teilt einem sowas wenigstens sofort mit, auch wenn es bislang keinen Patch gibt. Von Debian habe ich aber noch nichts gehört. SuSE hat vor ein paar Tagen einen Patch veröffentlicht - zumindest für apache2. Gut, zugegeben, es ist eine Kleinigkeit. Aber die Politik bei Debian ist es mal wieder, zu schweigen und den Anwendern soetwas erst gar nicht mitzuteilen. Von daher kann man von Debian eigentlich nur abraten. Martin
Re: Stable unsicher?
Martin Schmitz schreibt: Jan Lühr [EMAIL PROTECTED] writes: Woody ist unsicher - Woody ist unsicher weil verschiedene Pakete sich zu weit vom aktuellen Paket entfernd haben um gepatched werden zu können. Der apache und SSL zählen nicht dazu. Aha. Und was ist z.B. mit: http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2003-0020 Ist Debian davon nicht betroffen? Das NetBSD Security Team teilt einem sowas wenigstens sofort mit, auch wenn es bislang keinen Patch gibt. Von Debian habe ich aber noch nichts gehört. SuSE hat vor ein paar Tagen einen Patch veröffentlicht - zumindest für apache2. Gut, zugegeben, es ist eine Kleinigkeit. Aber die Politik bei Debian ist es mal wieder, zu schweigen und den Anwendern soetwas erst gar nicht mitzuteilen. Von daher kann man von Debian eigentlich nur abraten. Du solltest deine Aussagen _belegen_. $ zgrep CAN.*0020 -B4 changelog.Debian.gz; pwd apache (1.3.29.0.2-4) unstable; urgency=medium * (Fabio M. Di Nitto) - Updated mod_access to cvs head (CAN-2003-0993) - Backported http_log security fix from cvs head (CAN-2003-0020) /usr/share/doc/apache-common Ja, ist es unstable, mich wundert auch warum noch nicht eine Security Release für apache unter Woody gemacht worden ist... Gruss, -- --Jhair Public Key fingerprint: 81FF 3ADF BF6B CECB C593 4018 27AE D7D2 BAA6 00D0 -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Stable unsicher?
Jhair Tocancipa Triana [EMAIL PROTECTED] writes: Martin Schmitz schreibt: Gut, zugegeben, es ist eine Kleinigkeit. Aber die Politik bei Debian ist es mal wieder, zu schweigen und den Anwendern soetwas erst gar nicht mitzuteilen. Von daher kann man von Debian eigentlich nur abraten. Du solltest deine Aussagen _belegen_. Ich kann nur schwer belegen, daß das Debian Security Team etwas *nicht* gemacht hat. Ich sehe allerdings, daß ich seit Jahren Security-Announcements mit fortlaufenden Nummern erhalte. Die habe ich aufmerksam gelesen, im Hinblick auf CAN-2003-0020 leider erfolglos. $ zgrep CAN.*0020 -B4 changelog.Debian.gz; pwd apache (1.3.29.0.2-4) unstable; urgency=medium Das changelog habe ich auch gelesen. Aber das von Woody. Das ist zum letzten Mal im Oktober 2002 (!) angefasst worden. *Hier und Jetzt* reden wir über Woody, die mega-stabile und -sichere Distribution mit dem offenen Entwicklungskonzept. Ja, ist es unstable, mich wundert auch warum noch nicht eine Security Release für apache unter Woody gemacht worden ist... Eben genau *das* stinkt. Und zwar gewaltig! Martin
Re: Stable unsicher?
ja hallo erstmal,... Am Samstag, 17. April 2004 19:44 schrieb Martin Schmitz: Jhair Tocancipa Triana [EMAIL PROTECTED] writes: Martin Schmitz schreibt: $ zgrep CAN.*0020 -B4 changelog.Debian.gz; pwd apache (1.3.29.0.2-4) unstable; urgency=medium Das changelog habe ich auch gelesen. Aber das von Woody. Das ist zum letzten Mal im Oktober 2002 (!) angefasst worden. *Hier und Jetzt* reden wir über Woody, die mega-stabile und -sichere Distribution mit dem offenen Entwicklungskonzept. Ja, ist es unstable, mich wundert auch warum noch nicht eine Security Release für apache unter Woody gemacht worden ist... Eben genau *das* stinkt. Und zwar gewaltig! fup2 debian-security? Wo genau war das Problem mit diesem Bug? Exisitert er überhaupt im älteren Apache von Woody, aber wie gesagt. fup2 debian-security, falls du willst. Keep smiling yanosz
Re: Stable unsicher?
Hallo Michelle, Seit der version 2:1.6-3.backports.org.1 von 'mozilla' habe ich nämlich Probleme nach dem starten, sprich, öffnet voreingestellte Seite (google.de) und beim klicken auf einen Link geht die CPU-load auf 100% hoch und das zwischen 30-70 sekunden. Danach funktioniert alles normal. Habe nur als extensions 'adblock' und 'tabextensions' installiert. Also liegts nicht an mozilla, sondern an deinen extensions. Ich kann derartige Probleme naemlich nicht beobachten. Dirk -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Stable unsicher?
On Sat, Apr 17, 2004 at 09:03:00PM +0200, Dirk Salva wrote: Hallo Michelle, Seit der version 2:1.6-3.backports.org.1 von 'mozilla' habe ich nämlich Probleme nach dem starten, sprich, öffnet voreingestellte Seite (google.de) und beim klicken auf einen Link geht die CPU-load auf 100% hoch und das zwischen 30-70 sekunden. Danach funktioniert alles normal. Habe nur als extensions 'adblock' und 'tabextensions' installiert. Also liegts nicht an mozilla, sondern an deinen extensions. Ich kann derartige Probleme naemlich nicht beobachten. Es hilft wohl, ab und an die tabextensions.rdf zu löschen. LLAP, Martin signature.asc Description: Digital signature
Re: Stable unsicher?
Hi, Gut, zugegeben, es ist eine Kleinigkeit. Aber die Politik bei Debian ist es mal wieder, zu schweigen und den Anwendern soetwas erst gar nicht mitzuteilen. Von daher kann man von Debian eigentlich nur abraten. Irrtum. Vielleicht werden die security Bugs nicht in die security Announce mit geliefert, hingegen ist das Bug-Trackingsystem offen. Und auch alle Bugs werden sofort offengelegt (keiner wird verheimlicht). Also würde ich hier nicht so rumflamen. Abboniere doch einfach gleich die Bug-Announces von stable und schon bist du auf den Infos, die du haben willst. Martin MfG Pierre -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Stable unsicher?
Am 2004-04-17 21:03:00, schrieb Dirk Salva: Hallo Michelle, Seit der version 2:1.6-3.backports.org.1 von 'mozilla' habe ich nämlich Probleme nach dem starten, sprich, öffnet voreingestellte Seite (google.de) und beim klicken auf einen Link geht die CPU-load auf 100% hoch und das zwischen 30-70 sekunden. Danach funktioniert alles normal. Habe nur als extensions 'adblock' und 'tabextensions' installiert. Also liegts nicht an mozilla, sondern an deinen extensions. Ich kann derartige Probleme naemlich nicht beobachten. Das würde aber bedeuten, das mozilla-tabextensions was zuletzt zusammen mit mozilla von backports.org upgedated wurde kaputt ist. 'adblock' habe ich herausgenommen und es zeigt sich keine Veränderung, mit der Ausnahme das ich wieder massenweise Banners erblicke :-/ Dirk Greetings Michelle -- Registered Linux-User #280138 with the Linux Counter, http://counter.li.org/ -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Stable unsicher?
ja hallo erstmal,... Am Samstag, 17. April 2004 08:29 schrieb Rüdiger Noack: Jan Lühr wrote: Am Freitag, 16. April 2004 20:15 schrieb Maik Holtkamp: http://lists.debian.org/debian-security/2004/debian-security-200403/msg00 08 6.html Lassen wir das bitte schnell wieder im Archiv verschwinden ;) Das finde ich ganz und gar nicht. Hmm.. mir ging es eigentlich mehr um die heise Problematik und der für die RUS-CERT entstandene Schaden, grauenvoll. Aus der Diskussion wurde polemik. Darum ging es mir mit der Sache. Ich bin erst durch diesen Link auf die Problematik aufmerksam geworden. Hmm.. anscheinend scheint hier wirklich ein Problem vorzulegen. Als sicherheitsbewusster Mensch sollte mal die Bugreports zu den Programmen die man nutzt verfolgen und debian-security ist lesen. Wenn also der mozilla aus stable einen rc-Bug hat, sollte man das als mündiger, sicherheitsbewusster wissen... Ich benutze woody auch auf Desktop und Notebook - mit Mozilla. Und bin erst neulich auf einen 1.6er Backport umgestiegen, allerdings aus funktionalen Gründen. Aus der Diskussion hinter obigem Link schließe ich, auch den Backport ständig zu upgraden - aus Sicherheitsgründen. Nein. Wenn du wirklich ein sicheres System haben willst musst du dich darum kümmern. Du kannst nicht einfach sagen apt-get upgrade und sicher ist. Eine indirekte Security-Meldung sollte man doch nicht einfach im Archiv verschwinden lassen. ;-) Liest du den heise-newsticker? Welch Informationen ziehst du außer dieser Liste noch zu rate, um auf dem laufenden zu bleiben? naja, was solls, die Release-Politik von Debian ist denkbar unflexibel. Meiner Meinung nach, sollte man analog zu Mozilla alle 4 Monate testing zu stable werden lassen, und rigoros alle Pakete herausschmeißen, die unfixbare Bugs haben. Bei 12 CDs sollte man auf einiges unsicheres verzichten könnten. Nebenbei: Der mozilla ist kein Paket, dass ein Debian gehört. Es ist zu komplex als das sich das sec-team dran trauen würde und die Entwicker geben bezüglich der Binärkompatibilität falsche Versprechungen ab. Keep smiling yanosz
Re: Stable unsicher?
Jan Lühr wrote: Am Samstag, 17. April 2004 08:29 schrieb Rüdiger Noack: Jan Lühr wrote: http://lists.debian.org/debian-security/2004/debian-security-200403/msg00 08 6.html Lassen wir das bitte schnell wieder im Archiv verschwinden ;) Ich bin erst durch diesen Link auf die Problematik aufmerksam geworden. Hmm.. anscheinend scheint hier wirklich ein Problem vorzulegen. Als sicherheitsbewusster Mensch sollte mal die Bugreports zu den Programmen die man nutzt verfolgen und debian-security ist lesen. Wenn also der mozilla aus stable einen rc-Bug hat, sollte man das als mündiger, sicherheitsbewusster wissen... Sollte vielleicht, aber ist das praktikabel? Ich sehe die Linux-Nutzung aus reiner Anwendersicht. Man ist nicht ganz unerfahren in der IT-Umgebung, sucht sich das passende OS für seine Ansprüche - und wählt Debian stable. Das allerdings *neben* seinem full-time-Job unbd *hinter* seinem Privatleben. Da bleibt nicht allzu viel Zeit übrig. Ich behaupte mal, nur diese Liste mehr oder wenig vollständig zu verfolgen, ist dem 0-8-15-User (schon aus Zeitgründen) kaum zuzumuten. Ich versuche es immerhin noch. Aber zu mehr ist einfach keine Zeit! Als sicherheitsbewusster Anwender habe ich ja Debian stable gewählt und fühlte mich da bisher recht sicher. Ich konnte mir also einfach keine gravierenden Sicherheitslücken vostellen, die nicht automatisch durch regelmäßige Updates geschlossen werden oder auf die ich nicht durch diese Liste aufmerksam gemacht werde. Also eigentlich kein Grund (neben der Zeit), weitere Informationsquellen regelmäßig in Anspruch zu nehmen. Davon abgesehen, dass es IMHO sinnlos ist, die Projekte zu verfolgen, wenn mann Debian stable benutzt, da diese Pakete so alt sind, dass in den Projekten davon keine Rede mehr ist. Also müsste man schon sehe, sehr tief in der Materie stecken, um beurteilen zu können, welche Relevanz bestimmte Nachrichten für die eigene alte Version haben. Nebenbei: Der mozilla ist kein Paket, dass ein Debian gehört. Es ist zu komplex als das sich das sec-team dran trauen würde und die Entwicker geben bezüglich der Binärkompatibilität falsche Versprechungen ab. Welcher Browser wäre denn in diesem Sinne die Alternative? -- Gruß Rüdiger -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Stable unsicher?
On Fri, Apr 16, 2004 at 12:14:31PM +0200, Wilhelm Kutting wrote: Hallo, ich habe von jemand gehört, dass es unsicher ist einen webserver nur mit stable releases von Woody zu benutzen da diese absolut veraltetete programmpakete enthalten wie z.B. bei openssl. Ist das richtig? Nein, Fixes werden gerade bei Stable in den alten Versionen auch gepflegt. LLAP, Martin signature.asc Description: Digital signature
Re: Stable unsicher?
On Fri, 16 Apr 2004 12:14:31 +0200 Wilhelm Kutting [EMAIL PROTECTED] wrote: Hallo, ich habe von jemand gehört, dass es unsicher ist einen webserver nur mit stable releases von Woody zu benutzen da diese absolut veraltetete programmpakete enthalten wie z.B. bei openssl. Ist das richtig? dafür gibts (security)updates -- Hans Kramer www.hans-kramer.de.tf ICQ : 275 622 724 registered Linux user #341813. open minds. open sources. open future.
Re: Stable unsicher?
On Fri, 2004-04-16 at 12:14, Wilhelm Kutting wrote: Hallo, ich habe von jemand gehört, dass es unsicher ist einen webserver nur mit stable releases von Woody zu benutzen da diese absolut veraltetete programmpakete enthalten wie z.B. bei openssl. Ist das richtig? Die anderen Antworten waren so einsilbig: Ohne selbst Entwickler zu sein, gebe ich mal wieder, was ich selbst zu diesem Thema gehört und erlebt habe (IMO gehört diese Frage in die FAQ). Woody ist nicht unbedingt auf der Höhe der Zeit, das stimmt. Dies betrifft aber vor allem die Features -- die super-aktuelle Grafikkarte wird unter der in Woody enthaltenen Version von X11 nicht unterstützt. Was Sicherheitslücken angeht, bekommt Woody für alle bekannten Löcher Bugfixes, und zwar sehr schnell. Der in Woody enthaltene 2.4.18-Kernel ist nicht mehr derselbe 2.4.18er, mit dem Woody irgendwann mal veröffentlicht wurde. Konkret für openssl, siehe hier: http://www.de.debian.org/security/2004/dsa-465 cu, Schnobs -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Stable unsicher?
* Wilhelm Kutting ([EMAIL PROTECTED]) [040416 12:25]: ich habe von jemand gehört, dass es unsicher ist einen webserver nur mit stable releases von Woody zu benutzen da diese absolut veraltetete programmpakete enthalten wie z.B. bei openssl. Ist das richtig? Totaler Schmarrn. Alle Sicherheitsprobleme, die entdeckt werden, werden für woody gefixt (auf security.debian.org). Neu mit Sicher gleichzusetzen ist einer der größten Fehler, die man machen kann. Grüße, Andi -- http://home.arcor.de/andreas-barth/ PGP 1024/89FB5CE5 DC F1 85 6D A6 45 9C 0F 3B BE F1 D0 C5 D1 D9 0C -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Stable unsicher?
Am Fre, 2004-04-16 um 12.29 schrieb Hans Kramer: On Fri, 16 Apr 2004 12:14:31 +0200 Wilhelm Kutting [EMAIL PROTECTED] wrote: Hallo, ich habe von jemand gehört, dass es unsicher ist einen webserver nur mit stable releases von Woody zu benutzen da diese absolut veraltetete programmpakete enthalten wie z.B. bei openssl. Woody ist das stabilste Linux, das ich kenne. Es ist bewaehrt und bestens getestet. Alles was neuer ist, kann zwangslaeufig nicht so exzellent getestet und bewaehrt sein wie dieses woody so relatief kurz vor der Abloese durch sarge. Inzwischen wuerde ich woody auch fuer sichehrheitsrelevante Systeme nehmen. Jeder muss fuer sich die Entscheidung treffen welchen Grad an Sicherheit er braucht und wieviel Risiko er durch den Einsatz neuer, noch nicht so bewaehrter Pakete, eingehen will. Sid ist auch eine stabile Distribution. Woody ist halt noch stabiler. Mit Backports laesst sich zwischen sid und woody fast jeder Grad an neuen Paketen mit dem Risiko des noch nicht Bewaehrten einstellen. Du hast die Freiheit aber wie bei GNU/Linux ueblich, auch die Verantwortung. Schoene Gruesse aus der Heide Werner
Re: Stable unsicher?
Hi, 0n 04/04/[EMAIL PROTECTED]:51 Andreas Barth told me: * Wilhelm Kutting ([EMAIL PROTECTED]) [040416 12:25]: ich habe von jemand gehört, dass es unsicher ist einen webserver nur mit stable releases von Woody zu benutzen da diese absolut veraltetete programmpakete enthalten wie z.B. bei openssl. Ist das richtig? Totaler Schmarrn. Alle Sicherheitsprobleme, die entdeckt werden, werden für woody gefixt (auf security.debian.org). Ohne rumflamen oder einen thread mutwillig hierher ziehen zu wollen: NACK! http://lists.debian.org/debian-security/2004/debian-security-200403/msg00086.html -- bye maik pgp0.pgp Description: PGP signature
Re: Stable unsicher?
ja hallo erstmal,... Am Freitag, 16. April 2004 12:14 schrieb Wilhelm Kutting: Hallo, ich habe von jemand gehört, dass es unsicher ist einen webserver nur mit stable releases von Woody zu benutzen Nein. da diese absolut veraltetete programmpakete enthalten wie z.B. bei openssl. Ist das richtig? Nein. Woody ist unsicher - Woody ist unsicher weil verschiedene Pakete sich zu weit vom aktuellen Paket entfernd haben um gepatched werden zu können. Der apache und SSL zählen nicht dazu. Woody ist die Plattform, für die das debian-security team die Arbeit macht und adv herausbringt. Wenn also der ssl-apache ein größere Problem hätte, für die das sec team keinen backport bereit hatte, dann gäbe es ernsthafte interne Probleme ,) Keep smiling yanosz
Re: Stable unsicher?
ja hallo erstmal,... Am Freitag, 16. April 2004 20:15 schrieb Maik Holtkamp: http://lists.debian.org/debian-security/2004/debian-security-200403/msg0008 6.html Jaja, das war wohl der schwärzeste Tag/Thread dieses Liste. Zu mal, durch diesen Thread initiert, sich die Heise trolle über den mozilla ausgelassen haben Lassen wir das bitte schnell wieder im Archiv verschwinden ;) Keep smiling yanosz
Re: Stable unsicher?
Hi, 0n 04/04/[EMAIL PROTECTED]:51 Jan Lühr told me: ja hallo erstmal,... Am Freitag, 16. April 2004 20:15 schrieb Maik Holtkamp: http://lists.debian.org/debian-security/2004/debian-security-200403/msg0008 6.html Jaja, das war wohl der schwärzeste Tag/Thread dieses Liste. Zu mal, durch diesen Thread initiert, sich die Heise trolle über den mozilla ausgelassen haben Lassen wir das bitte schnell wieder im Archiv verschwinden ;) Hatte ich mir doch nach kurzer Durchsicht der debian Liste gedacht, dass da noch was in der inbox lauern koennte :). Ist mir aber PM auch lieber. Tut mir auch leid. Grad das von Dir nicht mitzitierte NACK! war vielleicht etwas zu doll :(. Aber Deinen thread fand ich schon angebracht! Ich selber benutzte woody eigentlich auch nur auch Servern. Da ist woody einfach geil. Bisher habe ich aber auch bei Freunden, die mal Linux probieren wollten, auch woody installiert. Das ist IMHO ein Fehler. Selbst wenn ich auf mozilla bei der Installation verzichte, ist es doch das erste Programm, dass diejenigen, sobald sie in apt reingerochen haben, installieren. Viele kennen es von MS. Ich bin leider viel zu bloed, um die noetigen Patches selbst liefern zu koennen, aber ich faende es auch bloed meinen Bekannten die mal reinriechen wollen sagen zu muessen: Wenn Du nicht die gleichen Probleme (potentiell) unter Linux bekommen willst, die Du schon unter MS hast, dann lass die Finger von debian. Sauber waere es, wenn die Pakete rausfliegen wuerden aus stable. Ein deutlicher Hinweis bei der Erstbenutzung waere IMHO aber das mindeste. -- bye maik pgp0.pgp Description: PGP signature