Vorab: Ich k�rze das ganze jetzt mal arg zusammen, weil meine Zeit momentan ohnehin knapp bemessen ist und ich wenig Lust habe, alles ausf�hrlich darzulegen, um dann mit einem Zitat aus meinem eigenen Link abgeb�gelt zu werden.
* Michael Heydekamp <[EMAIL PROTECTED]> wrote: > Stefan 'Steve' Tell <[EMAIL PROTECTED]> wrote on 14.08.04: > Tatsache ist, dass er die "Warnstufe" des von Dir angegebenen Links > zitiert hat, und daran ist nichts Verwerfliches Stimmt, es zeigt nur, dass hier jegliche Argumente fehlen. Nur weil der Fehler nicht 'hochkritisch' ist, macht das den Fehler nicht minder existent. > Auf jeden Fall hat die Frage, ob und wann auf v2.0.50 upgedatet wird, > nichts damit zu tun, welche Sicherheitsrisiken durch die Info-Postings > konkret ausgel�st werden, und um *diese* Kl�rung geht es ja > eigentlich. Es wird nichts konkret ausgel�st, sondern es erh�ht allenfalls die Gefahr. Das habe ich auch immer klar und deutlich rausgestellt. Ich kann den Verantwortlichen rgumentativ aber auch nicht das in ein paar Postings n�her bringen, was sie vorher in stundenlanger Arbeit beim Lesen der Security-Mailinglisten verpa�t haben. Kann ich auch gar nicht, weil ich von vielem, was FreeXP da laufen hat, selber gar keine Ahnung habe. Aber gerade f�r jemanden, der �ffentlich sarge ins Netz h�ngt, sollte das ein 'Basic' sein. >> Er sch�tzt das Potential eines etwaigen Angriffs offenbar anders ein >> als ich. > Das war wie gesagt ein Zitat des von Dir selbst geposteten Links, nicht > seine eigene Einsch�tzung. Das war ein simples Nullargument, daran sollte man sich besser nicht orientieren. > Es ging in dem Text, den Du rausgeschnitten hast, gar nicht um ein > "Sicherheitskonzept", mithin auch um keines, das auf Unterstellungen > basiert. Der Text kann ja auch nicht auf einem Sicherheitskonzept basieren. Das Sicherheitskonzept mu�/soll/kann der Admin f�r den von ihm im Netz betriebenen Server haben. Daf�r braucht er bestimmte Richtlinien, denen es Folge zu leisten gilt. F�r meine Geschmack w�re die von FreeXP zu niedrig geh�ngt. > Es ging vielmehr um das Verhalten m�glicher b�swilliger Angreifer und > die Wahrscheinlichkeit, dass sie die verwendete Apache-Version nicht > durch ein Script o.�., sondern durch das Lesen solcher Info-Postings in > �ffentlichen Foren herausbekommen. Ok, auch f�r Dich nochmal in aller Deutlichkeit: Das war ein Beispiel! Beim Apache ist es auch obersimpel, die Version rauszubekommen. Was ist mit cvs[1]? Ich wei� jetzt ad hoc nicht, wie man aus CVS die Version rauskitzeln kann, will aber nicht abstreiten, dass man auch da ein Version-Banner bekommt. Ich bin ja nun selber auch kein Fachmann, was solche Attacken angeht, glaube aber kaum, dass alle Dienste so gespr�chig sind wie Web und Mail. > IOW: Selbst wenn es diese Postings nicht g�be, w�re kein Jota an > Sicherheit hinzugewonnen. Es wird zumindestens nicht unn�tig Futter vor die Hunde. Ich w�rde das ganze als halb so schlimm empfinden, wenn damals nicht gleich der Name 'sarge' gefallen w�re. Aber das hatte f�r mich gleich eine Aussagekraft von "guck mal, hier ist 'ne Version im Einsatz, f�r die es keine Security-Updates gibt". > Scheint irgendwie in Mode zu kommen, diese Methode, und ich sch�tze sie > nicht gerade. Entweder setzt man was in die Welt und ist auch bereit, > es en detail zu diskutieren und argumentativ zu vertreten, oder man > l�sst es gleich bleiben. H�tte ich gewu�t, dass mich Martin mit einer so ... hmpf .. auf diese Art und Weise abspeist, dann h�tte ich es gleich bleiben lassen. Er verweigert die Aufnahme jeglicher Argumente, entweder, weil er dem nichts entgegenzusetzen hat, oder weil er es anders sieht. Von jemandem, der es anders sieht, erwarte ich jedoch eine andere Diskussionkultur, vor allem, wenn ich so einen Text haupts�chlich f�r ihn verfasse. > Speziell, wenn die Antwort weiteren Diskussionsbedarf erzeugt. Da ist kein Diskussionsbedarf. Derjenige, der daraus was machen k�nnte, schei�t offensichtlich drauf. Das ist ok, denn es ist sein Server. > Ausserdem haben gar nicht "alle anderen" diese Diskussion beendet, > sondern lediglich HJT hat eine Diskussion zu einem ganz anderen Thema > (mit einem anderen Subject) f�r sich beendet - zum Gl�ck. Was ist mit Martin? Was ist mit Dir, der HJT gerne folgen wollte? > *Diese* Diskussion wurde doch noch gar nicht richtig gef�hrt. "Eine Diskussion entwickelt sich" ... > Du musst nur - auch f�r zuk�nftige F�lle - bedenken, dass ein F'up2 bei > den Mailinglisten-Teilnehmern nicht wirkt. Ich gehe davon aus, dass das hier jeder - auch wegen der monatlichen Postings :) - mitbekommen hat, und ich gehe gleichfalls davon aus, dass die meisten so clever sind, ggf. selbst nur an mich per Mail zu antworten. fup2p ist ohnehin nur ein Ratschlag und kein Befehl, und mein gesetzter Header kann allenfalls 'ne Hilfe sein. >> "die neuste f�r sarge" ist aussagekr�ftig genug (ich glaube, es hei�t >> im Infoposting so, oder so �hnlich, habe jetzt nicht nachgesehen). > Ja, so �hnlich. Und welche Version ist das im Moment genau? K�nnte mir > n�mlich vorstellen, dass wir mit der v2.0.49 schon 'ne neuere haben als > die, die f�r Sarge momentan aktuell ist (weiss es aber nicht sicher). Wei� ich nicht. Und alle, die ich kenne und die es wissen k�nnten, schlafen noch. :) Footnotes: [1] http://www.heise.de/security/news/meldung/47493 -- Du tust manche Dinge, wenn Dich Hunger �berkommt, und dann tust Du's immer wieder, weil auch Hunger wiederkommt ... - Slime -, "Aufrecht gehen", Dez. 1993 ------------------------------------------------------------------------ FreeXP Support-Mailingliste [EMAIL PROTECTED] http://www.freexp.de/cgi-bin/mailman/listinfo/support-list
