* Ulrich Keil wrote/schrieb: > Kann es sein, dass du dich im Betreff ein bischen in der Wortwahl > vergriffen hast: > > Die gr��ten Deppen der Nation?
Naja, kann schon sein. War wohl etwas im �berschwang. Aber dennoch ist die Entwicklung, die OpenSSH z.Z. nimmt, sehr zweifelhaft. Auch die ewige Methode, alles sch�nzureden, kotzt mich an. Der verwanzte Tarball w�re erkennen zu wesen, wenn man die MD5 �berpr�ft h�tte. Blah, blah, blah. Aber auch nur, weil der Cracker scheinbar in Eile war und vergessen hat, die MD5 auszutauschen. N�chstes Mal wird er dieses Detail vielleicht nicht mehr �bersehen. > Glaubst du wirklich, dass der Webserver von OpenSSH.org mit einem > Well-Know Exploit gehackt worden ist, den jedes Skript-Kiddie einfach > aus dem Internet herunterladen kann? > > Sicher nicht. Warum nicht? Leider ist aber wohl noch nicht bekannt, wie das passieren konnte. Der FTP-Server lief unter SunOS 4.1, das braucht vermutlich schon ziemlich viel Zuwendung um heutzutage die "Sicherheit" zu wahren. > Ich wette mit dir, dass im Moment viele Webserver im Internet genau so > anf�llig sind wie der von OpenSSH.org, aber wir wissen es im Moment > nicht. Da gibts nichts zu wetten, das ist eine Tatsache. Aber bei OpenBSD ist man sich offenbar bei allem Trara, das man st�ndig um die eigene Software macht, nicht der Rolle bewu�t, die man spielt. Wem kann ich denn noch vertrauen, wenn mir im OpenSSH-Tarball (und zwar nicht vom Mirror, sondern von der Haupt-Site) ein trojanisches Pferd untergejubelt wird? > Au�erdem denke ich, dass es zu leicht ist, mit dem Finger auf andere > zu zeigen. Was haben wir uns gefreut, als hundert tausende NT Server > von Code Red infiziert worden waren (und zum Teil noch sind) und wir > in unserer Auffassung best�tigt wurden, dass es mit der Sicherheit von > MS Betriebssystemen nicht weit her ist. > > Wie sieht es heute aus? > > Am 17.6. wurde ein Fehler in Apache gefunden, der es einem entfernten > Angreifer erlaubt, Code auf dem Server auszuf�hren: > > http://www.der-keiler.de/Mailing-Lists/securityfocus/bugtraq/2002-06/0181.html > > Zuerst wurde vermutet, dass diese Vulnerability nur f�r Windows/64bit > Unix Systeme problematisch sein w�rde, doch Goobles wiederlegte diese > These eindrucksvoll, in dem sie einen Exploit f�r x86 BSD Systeme > ver�ffentlichten: > > http://www.der-keiler.de/Mailing-Lists/securityfocus/bugtraq/2002-06/0276.html > > Es ist nur eine Frage der Zeit, bis auch ein Exploit f�r x86 Linux > Server ver�ffentlicht wird. So richtig spektakul�r ist das aber nicht. Denk mal an den Qpopper-Bug von vor vier Jahren. Da war sofort ein Exploit unterwegs, der direkt beim Ausf�hren eine Root-Shell auf dem Zielsystem aufgemacht hat. Diesen Weichei-Kram mit Schonfristen wie heutzutage, gab es da noch nicht. Oder der Morris-Worm. Der hat schon �ber einen Sendmail-Exploit das Internet weltweit lahmgelegt, als Windows noch kein TCP/IP konnte. > Jedoch haben nur 20% aller UNIX-Server eine sichere (1.3.26) > Apache-Version laufen, was zur Folge hat, dass der Release eines > Exploits ein wahres Massacker ausl�sen wird. _Meine_ vom Internet erreichbaren Rechner sind mit aktuellen Software-Versionen ausgestattet. Was "sicher" ist, lasse ich allerdings mal dahingestellt. Aber danke f�r die Erinnerung. Ich mu� PHP updaten. :-) > Und Martin: > > >http://uptime.netcraft.com/up/graph/?mode_u=off&mode_w=on&site=www.dregis.com&submit=Examine > > Auch dein Arbeitgeber hat eine Apache Version laufen, die es heute > schon erm�glicht, Code auf dem Webserver auszuf�hren. Die Homepage meines Arbeitgebers findest Du hier: http://www.schmitt.li - Ich renne nur als Berater durch die Abteilungen bei Dregis, und mu� leider �ber deren Mailsystem mailen, weil alle Webmailer auf dem Proxy gefiltert werden und ich mir nicht Squirrelmail als neue Applikation, die gepampert werden will, installieren m�chte. Ciao, -martin -- What goes up, must come down. Ask any system administrator. ---------------------------------------------------------------------------- PUG - Penguin User Group Wiesbaden - http://www.pug.org
