Diese Diskussion wurde archiviert.
Es können keine neuen Kommentare abgegeben werden.
|
|
|
|
|
Von Anonymer Feigling am Wednesday 12. January 2005, 14:40 MEW (#1)
|
|
|
|
|
Wenn mann sich die Kernel-Mailingliste anschaut,
fällt auf, mit welcher Ruhe die Entwickler die
Diskussionen um diese Sicherheitsprobleme führen.
Ich weiss nicht recht, aber von mir aus könnte
das mit dem Fixen ruhig ein wenig schneller gehen.
Ev. müsste auch das Entwicklungsmodell wieder
umgestellt werden...
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Den Entwicklern sind diese Probleme relativ egal. Sie finden, dass die Distributoren für sowas zuständig sind.
|
|
|
|
|
|
|
|
|
Von Anonymer Feigling am Wednesday 12. January 2005, 14:58 MEW (#5)
|
|
|
|
|
Von welcher Quelle hast du, dass es ihnen egal
sein soll? Warum sollen die Distributoren für
sowas zuständig sein und nicht sie?
Wenn sie also der Meinung sind, dass die Distributoren dafür zuständig sind, heisst das, dass sie solche Lücken nicht, oder erst verspätet beheben?
Wie läuft das überhaupt mit den Distributoren, pflegen die schon ihre absolut unabhängigen Kernel-Trees oder gleichen sie sich auch ab und zu mal wieder mit den offiziellen Quellen ab?
|
|
|
|
|
|
|
|
|
|
|
|
|
Von welcher Quelle hast du, dass es ihnen egal sein soll? Warum sollen die Distributoren für sowas zuständig sein und nicht sie?
Das ist Teil des neuen Entwicklungsmodelles, siehe Link im Artikel.
Wenn sie also der Meinung sind, dass die Distributoren dafür zuständig sind, heisst das, dass sie solche Lücken nicht, oder erst verspätet beheben?
Sie werden dann behoben, wenn jemand einen Patch dafür schreibt. Das können normale Kernel-Hacker, Distributoren oder der Reporter selbst sein (vgl. Brad Spengler).
Wie läuft das überhaupt mit den Distributoren, pflegen die schon ihre absolut unabhängigen Kernel-Trees oder gleichen sie sich auch ab und zu mal wieder mit den offiziellen Quellen ab?
Das ist von Distribution zu Distribution unterschiedlich. Einige halten sich möglichst Nahe am Vanilla Kernel (z.B. Gentoo), andere erweitern ihren Kernel mit externen Patches und Eigenentwicklungen, die entweder noch nicht im Kernel sind, oder nicht akzeptiert wurden.
Gruss, tuxedo Each time you cast a void * into an int, God kills a kitten.
|
|
|
|
|
|
|
|
|
Von Anonymer Feigling am Wednesday 12. January 2005, 15:41 MEW (#7)
|
|
|
|
|
Was spricht für den Vanilla Kernel und was für einen speziellen Distributoren Kernel?
|
|
|
|
|
|
|
|
|
|
|
|
|
Als Endverbraucher sicher immer den Distributionskernel nehmen, ausser man hat Gründe, diesen nicht zu verwenden, bzw. man kennt sich gut genug aus und weiss was man tut. Denn mit den Distri-Kernel sollte man die wichtigen Sicherheitsupdates automatische erhalten (über die jeweilige Online-Update-Funktion). Beim Vanilla Kernel musst du dann halt einfach selbst patchen, wenn es eine Sicherheitslücke gibt. Each time you cast a void * into an int, God kills a kitten.
|
|
|
|
|
|
|
|
|
Von Anonymer Feigling am Wednesday 12. January 2005, 15:58 MEW (#9)
|
|
|
|
|
Und eine Firma die einen Debian Server einsetzt?
|
|
|
|
|
|
|
|
|
|
|
|
|
Das kommt auf den Administrator an. Wenn er will, dass es einfach läuft™, dann nimmt er sicher den Distributionskernel. AFAIK ist der Debian-Kernel relativ nahe am Vanilla und enhält vor allem sicherheitsrelevante Patches. Each time you cast a void * into an int, God kills a kitten.
|
|
|
|
|
|
|
|
|
Von Anonymer Feigling am Wednesday 12. January 2005, 16:16 MEW (#12)
|
|
|
|
|
Aber Woody hat keine aktuellen Kernel drin 2.4.29?
|
|
|
|
|
|
|
|
|
Von Anonymer Feigling am Wednesday 12. January 2005, 16:21 MEW (#13)
|
|
|
|
|
Debian sind die, welche am Meisten an Zeug rumbasteln, wo sie keine Ahnung haben. Mozilla z.B. passt das aber (zurecht) nicht und drum wollen sie einen anderen Namen dafür haben. Geht halt nicht immer.
|
|
|
|
|
|
|
|
|
|
|
|
|
Ziemlich viel FUD für nen anonymous...
--
Shame on you, Mr.Bush !
-- Michael Moore (Bowling for Columbine)
|
|
|
|
|
|
|
|
|
|
|
|
|
> Aber Woody hat keine aktuellen Kernel drin 2.4.29?
1. Woody hat nicht 2.4.29 sondern 2.4.18
2. Hat die aktualität des Kernels nichts mit seiner Sicherheit zu tun (siehe die Momentanen Bleeding-Edge Security-Bugs)
3. Auch Debian pflegt Securitypatches in den Kernel ein
http://www.debian.org/security/2004/dsa-413
Denke aber schon, dass da nicht alles so sicher ist wie's sein sollte (das letzte Advisory ist vom Jan 2004!).
--
Shame on you, Mr.Bush !
-- Michael Moore (Bowling for Columbine)
|
|
|
|
|
|
|
|
|
Von Anonymer Feigling am Thursday 13. January 2005, 02:33 MEW (#23)
|
|
|
|
|
Wahrscheinlich denken einige Entwickler so,
- dass kann man aus den Vorkommnissen
der vergangenen 4 Wochen ableiten -
dass Problem ist aber das man damit
das Modell "OpenSource"(in diesem Fall GPL´d)
durch Unaufmerksamkeit, und mangelndes Verantwortungsbewusstsein untergräbt,
mir ist die geringe Reaktionsgeschwindigkeit
auf die neuesten (lokalen) Lücken auch negativ
aufgefallen,
und was mir schon länger übel aufstösst, ist dass Sicherheitslücken sehr lange unter der Decke gehalten werden, Sicherheit und die Probleme
müssen öffentlich gemacht werden, sonst
entsteht zu wenig Druck die verlorengegenange
relative Sicherheit wiederherzustellen,
scheint als färbt das Modell one-patch-day-a-month
auf viele Entwicklungsmodelle ab
(unter dem Monat werden Sicherheitslücken als Feature deklariert,
siehe DRM-WindowsMedia "Popup" )
Menschen die Wissen verheimlichen machen
meiner Meinung nach keinen vertrauenserweckenden
Eindruck, weil man annehmen kann, dass da
immer noch etwas ist wovon man nichts weiss.
|
|
|
|
|
|
|
|
|
|
|
|
|
Scheint als hätte RH zwar das Ding upgedadet, dies aber nicht weitergeltet haben.
Hier ein --schnipp-- aus dem advisoriy
--schappi--
RedHat reported that a customer also pointed
out some problems with the page fault handler on SMP about 20.12.2004
and they already included a patch for this vulnerability in the
kernel-2.4.21-27.EL release, however the bug did not make it to the
security division.
--schnappi--
--
Shame on you, Mr.Bush !
-- Michael Moore (Bowling for Columbine)
|
|
|
|
|
|
|
|
|
|
|
|
|
Sieht aus, als wären da in Kürze einige neue Kernels zu erwarten: Kernel.org meldet 3 rc1-Kernels: 2.6.11-rc1, 2.4.29-rc1, 2.2.27-rc1 — Alle von heute oder gestern...
--
There is no place like $HOME
|
|
|
|
|
|
|
|
|
|
|
|
|
|
2.6.11-rc1 wurde heute freigegeben. Hier das Announcement von Linus. Der erwähnte Fehler scheint aber noch nicht behoben.
Gruss, tuxedo Each time you cast a void * into an int, God kills a kitten.
|
|
|
|
|
|
|
|
|
|
|
|
|
Das spricht für sich, und für Linux' Codequalität
und Linus' Entwicklerqualitäten. Ich bin BSDler, ich darf das!
06.03.2005 00:24 UTC
#1 der Hall of Fame:
2⁷ Kommentare
|
|
|
|
|
|
|
|
|
|
|
|
|
hast die "ironic"-tags vergessen ;)
--
Shame on you, Mr.Bush !
-- Michael Moore (Bowling for Columbine)
|
|
|
|
|
|
|
|
|
Von Anonymer Feigling am Wednesday 12. January 2005, 20:05 MEW (#18)
|
|
|
|
|
das würde ich mit Score 3 "funny" bewerten
|
|
|
|
|
|
|
|
|
|
|
|
|
Tamminomau! Log dich ein, sieh dass du Mod-Punkte bekommst und tu's!
tL -- ... I don't like it, but I guess things happen that way ... (J. Cash)
|
|
|
|
|
|
|
|
|
|
|
|
|
Inzwischen wurde der Fehler behoben:
ChangeLog Each time you cast a void * into an int, God kills a kitten.
|
|
|
|
|
|
|
|
|
Von Anonymer Feigling am Thursday 13. January 2005, 08:12 MEW (#24)
|
|
|
|
|
Ja klar, ihr von MirBSD seit da natürlich
viel besser. Klar, darum habt ihr soviel Erfolg...
Nur weil du den Linux-Kernel nicht magst,
heisst das nicht, dass du mit unqualifizierten Bemerkungen hier rumtrollen musst...
|
|
|
|
|
|
|
|
|
|
|
|
|
Du kennst weder meine Meinung über, noch meinen
Bezug zum Linux-Kernel, bist zu faul, Dir einen
Account zu besorgen, trollst hier anonym herum.
Für eine saubere Hintergrundrecherche zu MirOS
bist Du Dir natürlich auch zu fein.
[x] geh weg
Ich habe Grundschüler gesehen mit mehr Niveau
als Deinem. Ich bin BSDler, ich darf das!
06.03.2005 00:24 UTC
#1 der Hall of Fame:
2⁷ Kommentare
|
|
|
|
|
|
|
|
|
Von Anonymer Feigling am Wednesday 12. January 2005, 22:16 MEW (#21)
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Es ist für nen guten Zweck ;)
----------------
Wer gegen ein Minimum
Aluminium immun ist, besitzt
Aluminiumminimumimmunität
|
|
|
|
|
|
|
|
|
Von Anonymer Feigling am Thursday 13. January 2005, 09:42 MEW (#25)
|
|
|
|
|
Jo, es wird Zeit, daß sie endlich das Feature umsetzen, nen laufenden Kernel ohne Reboot auszuwechseln.
|
|
|
|
|
|
|
|
|
|
|
|
|
Auch wenn die allermeisten von der neuen Lücke nicht betroffen sind, so langsam wird es ganz übel. Sollte diese neue Bugwelle wirklich auf das neue Entwicklungsmodell zurückzuführen sein, hoffe ich sehr das Torwalds bald die richtigen Konsequenzen daraus zieht.
|
|
|
|
|
|
|
|
|
|
|
|
|
Ja, das hoff ich auch.
Lieber 10% weniger Features und dafür etwas mehr Stabilität und Sicherheit. Und ich denke dass Stabilität und Sicherheit direkt im Zusammenhang stehen -> Ich hatte erstmals Abstürze mit dem Kernel 2.6.x (x = 3 - 7 ) - wobei das war ein SuSi-kernel. Und viele sagen einen kernel unter x.x.10 dürfe man nicht verwenden. Hoffentlich kommt da bald alles wieder ins Lot. Oder brauchen wir noch eine Zwischenstufe, die das alte Modell (stable & dev Kernel) wieder übernimmt?
|
|
|
|
|
|
|
|
|
Von Anonymer Feigling am Thursday 13. January 2005, 18:15 MEW (#28)
|
|
|
|
|
neues entwicklungsmodell?
Imho wurde z.B. ELF Loader schon lange nicht mehr verändert. Schuld sind halt eben die Linux Anwender, die nur "Features! Featurs! Meeehr!" schreien können. Und ein Teil der entwickler auch. Der andere Teil fügt sich... security kratzt eh niemanden, ist sowieso unnötig...
|
|
|
|
|