Hallo, Am Thu, 15 Jan 2004, Manfred Tremmel schrieb:
Am Mittwoch, 14. Januar 2004 23:42 schrieb David Haller:
Am Wed, 14 Jan 2004, Manfred Tremmel schrieb:
Du weisst, dass Du Dir mit nem <= 2.4.23er Vanilla Kernel Sicherheitslücken ins Haus holst, mit nem 2.4.20er sogar mehrere.
Welche ausser do_brk() und do_mremap()?
Na, reichen die beiden nicht?
Doch klar. Sind aber bei mir nicht wirklich "dringend", da lokale exploits und da ich der einzige lokale user bin... :) Aber klar, man "fixt" sowas so bald wie moeglich :)
Die Sache ist halt noch die, dass eventuell andere gefixed Fehler auch noch Sicherheitspotential haben könnten, die nur noch nicht erkannt wurden.
ACK. Ich empfehle auch _niemanden_, so einen "alten" 2.4.16er Kernel einzusetzen (obwohl der bei mir soo stabil laeuft ;). Aber wenn ich mit ein paar Zeilen (6 Zeilen Code insgesamt) das fixen kann? Dann bau ich das "mal eben" ein. Und _ich_ weiss, was ich damit ggfs. riskiere. Zumal ich sowieso schon selbst mehr an dem Kernel rumgepatcht habe (selbst wenn man patches an den Makefiles ignoriert). Was ich eigentlich sagen wollte, war, dass, falls hier jemand Gruende hat, nen nicht-aktuellen Kernel zu verwenden, dass man auch diesen einfach zumindest gegen diese beiden Exploits patchen kann (siehe auch meine Mail nebenan). Man muss nicht unbedingt gleich 2.4.23 verwenden, um diese beiden Luecken zu stopfen. Nennt man "Backport" sowas, und sowas macht SuSE ja staendig und zu Recht. ;)
Die hab ich mir jetzt naemlich gefixt. Mein Kernel? 2.4.16 :)
Dann ist ja gut ;-) Die Frage ist nur, was macht mehr arbeit, den alten Source zu patchen, oder nen neuen Kernel zu compilieren. Gut, ne DSL-Flat ist letzterer Methode schon förderlich ;-)
Du, ich hab hier sogar schon nen 2.4.23 tarball, aber meinen 2.4.16er zu patchen war dennoch (fuer mich!) deutlich weniger Arbeit :) Diese "Arbeit" will ich mir erst fuer nen 2.6er machen[1], da will ich mir nicht noch extra Arbeit fuer nen 2.4er Update machen[2]... Das Neukompilieren war eh faellig, um unnoetigen Ballast (mit potentiellen Sicherheitsluecken *g*) loszuwerden, und da "mal eben" die beiden Fixes einzubauen, das war _fuer mich_ einfach und schmerzlos. Getestet hab ich den gefixten und abgespeckten Kernel uebrigens immer noch nicht, so wenig "wichtig" ist mir das eigentlich. Mach ich morgen, wenn ich beim Lilo dran denke und nicht einfach auf "Return" druecke bzw. den Timeout abwarte ;) Naja, mein System ist ja sowieso inzwischen in so grossen Teilen "Eigenbau"... Aber ich bilde mir ein zu wissen, was ich da riskiere ;) Zumal da sowieso z.B. noch ein uralter, "bugridden" sendmail-8.9.3 auf Port 25 lauscht... Der ist das viel groessere Risiko, den sollte ich noch eher updaten, was auch geplant ist, aber da vertrau ich z.Z. einfach mal auf meine FW (und meine sendmail-Einstellungen), die nach aussen den Port 25 schlicht dicht macht (bzw. die connects nur von localhost (i.e. fetchmail, mutt, mail usw.) annehmen). *g* Und da ich trotz DSL-flat fast nur so online bin, als haette ich nur ein analog-Modem mit nem teuren Zeittarif, sehe ich die Risiken als kalkulierbar an, zumal meine FW dicht sein muesste ;) Aber vielen Dank fuer deine "Besorgnis"/Anteilnahme :) -dnh PS: wg. mir koennen wir meine FW gerne mal testen ;) Sach mir vorher Bescheid damit ich dir meine IP mailen kann... [1] bin schon dabei, aber z.Z. gibt's wichtigeres. [2] falls sich aber heraustellt, dass z.B. meine Soundkarten unter 2.6 nicht mehr laeuft, und ich dann erstmal bei 2.4 bleibe, dann natuerlich schon. Dann gibt's auch nen 2.4.2x (oder was dann eben aktuell ist). -- / "The way to a man's heart is through his stomach, that way you \ \ don't get your knife caught in his ribs..." -- Peter da Silva / -- stolen off of AdB