Stefan 'Steve' Tell <[EMAIL PROTECTED]> wrote on 14.08.04:
> * Michael Heydekamp <[EMAIL PROTECTED]> wrote:
>> Stefan 'Steve' Tell <[EMAIL PROTECTED]> wrote on 14.08.04:
>>> ,----
>>> | Apache/2.0.49 (Debian GNU/Linux) Server at www.martinwodrich.de Port 80
>>> `----
>> Aber es ist ja erstens m�glich, von 2.0.49 auf 2.0.50 upzudaten
>> (nehme auch mal an, dass das demn�chst passieren wird), und zweitens
>> ist es auch Dir ja offenbar ohne gr�sseren Aufwand gelungen, die
>> Version herauszufinden.
> Ob das Update passieren wird, m�chte ich nach der flappsigen Antwort
> von Martin bezweifeln.
Lass doch jetzt mal solche Wertungen beiseite.
Sicher w�re eine ausf�hrlichere Antwort vielleicht angemessener und
w�nschenswerter gewesen, aber ich krieg' auch nicht immer die Antworten
in der Form und Auf�hrlichkeit, wie ich mir das w�nsche.
Tatsache ist, dass er die "Warnstufe" des von Dir angegebenen Links
zitiert hat, und daran ist nichts Verwerfliches - auch dann nicht, wenn
sie als "Weniger kritisch" klassifiziert wird und vielleicht von daher
nicht ganz in das Bild der Sicherheitsrisiken passt, das hier entworfen
werden sollte.
Auf jeden Fall hat die Frage, ob und wann auf v2.0.50 upgedatet wird,
nichts damit zu tun, welche Sicherheitsrisiken durch die Info-Postings
konkret ausgel�st werden, und um *diese* Kl�rung geht es ja eigentlich.
> Er sch�tzt das Potential eines etwaigen Angriffs offenbar anders ein
> als ich.
Das war wie gesagt ein Zitat des von Dir selbst geposteten Links, nicht
seine eigene Einsch�tzung. Du kannst jetzt nat�rlich sagen, dass diese
Einsch�tzung falsch sei, aber man muss sich seine eigenen Belege
mitunter auch vorhalten lassen k�nnen.
>> Ich unterstelle mal [ ... ]
> Wenn Euer Sicherheitskonzept auf Unterstellungen basieren soll, ist
> das in Ordnung. Bleibt zu hoffen, dass die Realit�t dem Folge
> leistet.
Sorry, das ist nicht redlich. Es ging in dem Text, den Du
rausgeschnitten hast, gar nicht um ein "Sicherheitskonzept", mithin auch
um keines, das auf Unterstellungen basiert.
Es ging vielmehr um das Verhalten m�glicher b�swilliger Angreifer und
die Wahrscheinlichkeit, dass sie die verwendete Apache-Version nicht
durch ein Script o.�., sondern durch das Lesen solcher Info-Postings in
�ffentlichen Foren herausbekommen.
Und nur, wenn man diese Wahrscheinlichkeit bewertet, kann man zu einer
Einsch�tzung kommen, welche Bedrohungen und Sicherheitsrisiken von
solchen Postings *tats�chlich* (und nicht theoretisch) ausgehen.
Dazu h�tte mich Deine Bewertung schon interessiert, denn ich kann mir
nicht vorstellen, dass Du ernsthaft behaupten willst, dass das Lesen
solcher Postings der Weg ist, den b�swillige Angreifer systematisch
verfolgen. IOW: Selbst wenn es diese Postings nicht g�be, w�re kein
Jota an Sicherheit hinzugewonnen.
Der Einfachheit halber zitiere ich nochmal vollst�ndig, dann kannst Du
ggf. gleich darauf Bezug nehmen:
------------8<------------
>> Ich unterstelle mal, dass diejenigen, die es b�swillig auf die 2.0.49
>> oder fr�her abgesehen haben, schneller ein Script geschrieben haben,
>> mit dem sie in k�rzester Zeit weltweit Hunderttausende oder Millionen
>> von m�glichen Angriffspunkten ermittelt haben, als m�hsam die
>> Support-Mailinglisten oder -Newsgroups von Projekten wie FreeXP nach
>> entsprechenden Postings abzusuchen, in denen solche Infos
>> m�glicherweise enthalten sein k�nnten.
------------8<------------
> Wie gesagt, ich habe mein Statement nochmal ausf�hrlich dargelegt, und
> da alle anderen die Diskussion bereits beendet haben, w�rde ich das an
> dieser Stelle - zumindestens �ffentlich - auch gerne tun.
Scheint irgendwie in Mode zu kommen, diese Methode, und ich sch�tze sie
nicht gerade. Entweder setzt man was in die Welt und ist auch bereit,
es en detail zu diskutieren und argumentativ zu vertreten, oder man
l�sst es gleich bleiben.
Speziell, wenn die Antwort weiteren Diskussionsbedarf erzeugt.
Ausserdem haben gar nicht "alle anderen" diese Diskussion beendet,
sondern lediglich HJT hat eine Diskussion zu einem ganz anderen Thema
(mit einem anderen Subject) f�r sich beendet - zum Gl�ck.
*Diese* Diskussion wurde doch noch gar nicht richtig gef�hrt.
> Ich setze also auch hier ein fup2p, dem Folge zu leisten nat�rlich Dir
> �berlassen bleibt.
Aus den genannten Gr�nden ignoriert. Aber so habe ich zumindest
mitbekommen, dass Du jetzt auch �ber die Newsgroups hier teilnimmst. ;)
Du musst nur - auch f�r zuk�nftige F�lle - bedenken, dass ein F'up2 bei
den Mailinglisten-Teilnehmern nicht wirkt.
>> Zumal sich die exakte Apache-Version aus dem Info-Posting auch gar
>> nicht ergibt.
> "die neuste f�r sarge" ist aussagekr�ftig genug (ich glaube, es hei�t
> im Infoposting so, oder so �hnlich, habe jetzt nicht nachgesehen).
Ja, so �hnlich. Und welche Version ist das im Moment genau? K�nnte mir
n�mlich vorstellen, dass wir mit der v2.0.49 schon 'ne neuere haben als
die, die f�r Sarge momentan aktuell ist (weiss es aber nicht sicher).
W�re jedenfalls dann doch die perfekte Irref�hrung. ;) Die nur auch nix
h�lfe, weil's von den B�sewichten ja doch keiner liest.
Michael
------------------------------------------------------------------------
FreeXP Support-Mailingliste
[EMAIL PROTECTED]
http://www.freexp.de/cgi-bin/mailman/listinfo/support-list
