symlink.ch | OpenSSH 3.4 verfügbar

symlink.ch

FAQ
Mission
Über uns
Richtlinien

Moderation
Einstellungen
Story einsenden

Suchen & Index
Ruhmeshalle
Statistiken
Umfragen

Redaktion
Themen
Partner
Planet

XML | RDF | RSS
PDA | WAP | IRC
Symbar für Opera
Symbar für Mozilla

Freunde

Benutzergruppen
LUG Switzerland
LUG Vorarlberg
LUGen in DE
SIUG
CCCZH
Organisationen
Wilhelm Tux
FSF Europe
Events
LinuxDay Dornbirn
BBA Schweiz
CoSin in Bremgarten AG
VCFe in München
Menschen
maol
Flupp
Ventilator
dawn
gumbo
krümelmonster
XTaran
maradong
tuxedo

OpenSSH 3.4 verfügbar

Veröffentlicht durch gumbo am Mittwoch 26. Juni, 17:01
Aus der endlich Abteilung

Endlich haben die ISS Leute eine genaue Beschreibung des erst kürzlich bekannt gewordenen OpenSSH Problems veröffentlich. Eine neue Version von OpenSSH, Version 3.4, ist bereits verfügbar.

< Käufliche Quantenkryptographie | Druckausgabe | Schach als Benchmark >

symlink.ch Login

extrahierte Links

OpenBSD

Beschreibung

Version 3.4

Mehr zu Security

Auch von gumbo

Diese Diskussion wurde archiviert. Es können keine neuen Kommentare abgegeben werden.

hmm. (Score:1)

Von Maverick (lb-web@projectdream.org) am Wednesday 26. June, 23:03 MES (#1)
(User #757 Info) http://projectdream.org

Irgendwie kann ich TDR ja verstehen, andererseits finde ich die Art, mit der er bei diesem Problem vorgangen ist, unter aller sau. Auf der OpenBSD WebPage steht etwas von wegen Full Disclosure. Das war hier definitiv nicht der Fall.

Full Disclosure [was:hmm.] (Score:1)

Von maol (maol.symlink.ch) am Thursday 27. June, 08:23 MES (#3)
(User #1 Info) http://www.maol.ch/

Jungs, begreift endlich, dass Full Disclosure nicht heisst, dass man sofort alles veröffentlicht (das wäre immediate FD). Zu verantwortungsvoller FD gehört immer, dass man dem Vendor zuerst Zeit gibt, den Bug zu flicken. Erst wenn der Bug geflickt ist, oder wenn der Vendor keine anstalten macht, den Bug zu flicken, dann soll die Vuln veröffenlticht werden. Wieviel Zeit man den Leuten gibt, ist verschieden. Manche geben eine Woche (ISS, deshalb hier auch OpenSSH), andere einen Monat oder mehr.

Einer der wichtigsten Leute, die dieses Prinzip schon vor langer Zeit in Worte fassten, war rain forest puppy. Aber ob die heutige Jugend rfp noch kennt?

--
Where do I find the Any Key?

Re:Full Disclosure [was:hmm.] (Score:0)

Von Anonymer Feigling am Thursday 27. June, 12:08 MES (#5)

http://www.openbsd.org/security.html#disclosure

Running Gag ;) (Score:0)

Von Anonymer Feigling am Thursday 27. June, 01:12 MES (#2)

Auch bei Gentoo nun im Portage Tree:

net-misc/openssh-3.4_p1

Nicht alle sind betroffen... (Score:2)

Von tronco_flipao am Thursday 27. June, 09:55 MES (#4)
(User #729 Info)

The SKEY and BSD_AUTH options are not enabled by default in many distributions. However, if these options are explicitly enabled, that build of OpenSSH may be vulnerable.

Die Frage die sich aufdrängt ist, wieso wurde Pauschal gefordert auf Version 3.3 zu wechseln wenn nur ein Teil der Installationen davon betroffen ist?
Es scheint halt doch als ob Theo diesen Bug mit seiner Vorgehensweise tatsächlich ausgenutzt hat um Version 3.3 zu verbreiten. Ich finde priv separation eine gute Sache, aber mit solchen Tricks einen Versionswechsel von den Leuten zu "erschwindeln" ist nicht die feine Art..

Wie dem auch sei, ich werde Version 3.4 anschauen und gegebenfalls installieren.

Durchsuche symlink.ch:

Never be led astray onto the path of virtue.