Stefan 'Steve' Tell <[EMAIL PROTECTED]> wrote on 15.08.04:
> * Michael Heydekamp <[EMAIL PROTECTED]> wrote:
>> Tatsache ist, dass er die "Warnstufe" des von Dir angegebenen Links
>> zitiert hat, und daran ist nichts Verwerfliches
> Stimmt, es zeigt nur, dass hier jegliche Argumente fehlen. Nur weil
> der Fehler nicht 'hochkritisch' ist, macht das den Fehler nicht
> minder existent.
Ich m�chte jetzt wirklich mal hart am Thema des Subjects bleiben, damit
der Thread nicht wieder in tausend andere Themen zerfasert: Dass da ein
Fehler im Apache ist, ist sowohl richtig als auch gar nicht der Punkt.
Der Punkt ist, ob das Posten der Technik-Infos das Risiko erh�ht, dass
dieser Fehler von aussen boshaft ausgenutzt werden kann.
Und da bleibe ich bei meiner Auffassung, dass kein potentieller
Angreifer ausgerechnet durch diese Postings die f�r ihn notwendigen
Informationen erlangen wird. Daf�r hat er weit komfortablere und
leistungsf�higere Mittel.
>> Auf jeden Fall hat die Frage, ob und wann auf v2.0.50 upgedatet
>> wird, nichts damit zu tun, welche Sicherheitsrisiken durch die
>> Info-Postings konkret ausgel�st werden, und um *diese* Kl�rung geht
>> es ja eigentlich.
> Es wird nichts konkret ausgel�st, sondern es erh�ht allenfalls die
> Gefahr.
Sehe ich nach wie vor nicht. Beschreibe doch mal das konkrete Szenario,
das Dir da vorschwebt. Boshafter Angreifer liest zuf�llig unsere
Gruppen, freut sich �ber die Info, dass wir angeblich immer die aktuelle
Apache-Version f�r Sarge verwenden und setzt FreeXP auf seinen
handgeschriebenen "Einkaufszettel"?
>>> Er sch�tzt das Potential eines etwaigen Angriffs offenbar anders
>>> ein als ich.
>> Das war wie gesagt ein Zitat des von Dir selbst geposteten Links,
>> nicht seine eigene Einsch�tzung.
> Das war ein simples Nullargument, daran sollte man sich besser nicht
> orientieren.
Spielt aber, um diesen Punkt mal abzuhaken, f�r die eigentliche Frage im
Subject auch keine Rolle.
>> Es ging in dem Text, den Du rausgeschnitten hast, gar nicht um ein
>> "Sicherheitskonzept", mithin auch um keines, das auf Unterstellungen
>> basiert.
> Der Text kann ja auch nicht auf einem Sicherheitskonzept basieren.
??? Ich habe gesagt, dass es in dem Text nicht um Sicherheitskonzept
*ging*.
>> Es ging vielmehr um das Verhalten m�glicher b�swilliger Angreifer
>> und die Wahrscheinlichkeit, dass sie die verwendete Apache-Version
>> nicht durch ein Script o.�., sondern durch das Lesen solcher
>> Info-Postings in �ffentlichen Foren herausbekommen.
> Ok, auch f�r Dich nochmal in aller Deutlichkeit: Das war ein Beispiel!
Weiss ich, aber was folgt jetzt daraus? Wenn das kein so gutes war,
kannst Du ja gerne noch ein besseres bringen.
Aber welche Beispiele Du auch immer bringen wirst, es wird immer darauf
hinauslaufen, dass sich aus dem Info-Posting bestenfalls die verwendete
Version irgendeiner beteiligten Software ergeben wird. Und dann gilt
wieder das, was ich oben und in der vorherigen Mail sagte.
> Beim Apache ist es auch obersimpel, die Version rauszubekommen. Was
> ist mit cvs[1]? Ich wei� jetzt ad hoc nicht, wie man aus CVS die
> Version rauskitzeln kann, will aber nicht abstreiten, dass man auch da
> ein Version-Banner bekommt.
Alles m�glich - und? Gerade wenn das so ist, ist das doch erst recht
eher eine Begr�ndung daf�r, dass alleine das Info-Posting *keine*
zus�tzlichen Risiken erzeugt oder Gefahren erh�ht, weil man an die
Versionsnummer anders viel leichter und schneller herankommt.
Und gerade f�llt mir bei dem ganzen auch noch ein: Wurde nicht hier -
und ich meine, auch von Dir - mehrfach gefordert, ausgerechnet diese
Infos sogar (auch) auf der Website zu publizieren?
Kann mir jetzt jemand erkl�ren, warum sie dort kein Sicherheitsrisiko
darstellen sollen, als Mail/Posting aber doch? Oder, wenn man zu dem
Ergebnis kommen sollte, dass sie auf der Website ein noch viel gr�sseres
Sicherheitsrisiko darstellen, man dann �berhaupt diese Forderung erhebt?
Michael
------------------------------------------------------------------------
FreeXP Support-Mailingliste
[EMAIL PROTECTED]
http://www.freexp.de/cgi-bin/mailman/listinfo/support-list
