Am Donnerstag, 18. September 2003 08:13 schrieb Stefan Onken:
Also: http://www.suse.de/de/private/download/updates/81_i386.html aufgerufen. Steht da was ? Nein !
Das scheint zumindest bei Openssh gerne mal vorzukommen. Als ich noch Suse 7.0 hatte, ist mir auch aufgefallen, daß Suse ein Openssh Sicherheitsloch nicht auf dieser Seite angekündigt hat, obwohl es einen Patch gab.
Nun kommen wir zum eigentlichen Problem: Auf SusE Security habe ich kein Annoucent, auch keine Stellungnahme, zu diesem zweiten Patch gelesen.
Sicherheit wird bei Suse eben klein geschrieben, oder wenn es einen möglichen Remote-root-exploit von Openssh betrifft, nicht nur klein, sondern garnicht geschrieben: Unter http://www.suse.de/de/security/index.html und http://www.suse.de/de/security/announcements/index.html findet sich jedenfalls kein Sterbenswörtchen über Openssh. Zwar ist es hoch anzurechnen, daß direkt auf der Homepage von Suse ein Link zu "Security" vorhanden ist. Wenn dort dann jedoch existierende Advisories und Patches verschwiegen werden, missbraucht das aber das Vertrauen in Suse.
Viel schlimmer finde ich jedoch, dass auf der eigentlichen Update Seite zu SuSE 8.1 (http://www.suse.de/de/private/download/updates/81_i386.html) noch immer weder der erste noch der zweite (falls es ihn gibt) SSHD Patch bereitsteht.
Du solltest, wenn Du Suse einsetzt, am besten täglich den Suse FTP Server nach Updates für deine Distribution durchsuchen. Manchmal kommt es nämlich auch vor, daß ein Patch zuerst öffentlich einsehbar auf dem FTP Server landet, ein Advisory jedoch erst Tage danach veröffentlicht wird.
Wenn ich nun nicht gerade Nachts Heise Newsticker lesen wuerde, dann waere mir die Existenz eines solches Patches nicht bewusst.
Manchmal wird ein Sicherheitspatch auch recht zeitnah in das YOU System übernommen. Trotzdem lohnt es sich, die Suse Security- und die Full-disclosure Mailinglisten zu beziehen.
Nun die Fragen: 1) Liegt es an mir ? Uebersehe ich etwas ? 2) Schlampt da SuSE ? 3) Mache ich mir das zu kompliziert ?
2) Viele Grüße, Matthias