Hallo, Ich muss ja sagen, ich fuehle mich ein wenig ueberfordert. Genauer geht es um das (wahrscheinliche, angebliche) SSHD Problem, von dem ich auf Heise gelesen habe. Da ich zwei (Root)Server im Netz habe mit SuSE 8.1, dachte ich mir: Ok, da muss geupdatet werden. Also: http://www.suse.de/de/private/download/updates/81_i386.html aufgerufen. Steht da was ? Nein ! Nun, zunaechst dachte ich mir: ok, die armen SuSE Leute werden Ihren Webauftritt ja auch nicht 24/7 updaten, wurde doch auf heise Online in einem Forum der Link zum ersten Update gepostet: http://www.netzwerk-aktiv.com/pub/doc/newsletters/suse-security-announce/htm... Das war nun alles so am Dienstag Abend. Ausserdem habe ich mich zu dem Zeitpunkt in SuSE-Security (und SuSE-Announce) eingetragen, in der Erwartung dort etwas ueber neue Updates zu lesen. Nun soll (??) ein zweites Update draussen sein, zumindest habe ich gestern Nacht eine Mitteilung von Astaro fuer unsere Firmenfirewall bekommen, das ein neues Update bereitstellt, eben mit diesem zweiten Patch. Nun kommen wir zum eigentlichen Problem: Auf SusE Security habe ich kein Annoucent, auch keine Stellungnahme, zu diesem zweiten Patch gelesen. Kann natuerlich sein, dass diese vor Mittwoch, 7:13 kam, ab diesem Zeitpunkt lese ich die. Viel schlimmer finde ich jedoch, dass auf der eigentlichen Update Seite zu SuSE 8.1 (http://www.suse.de/de/private/download/updates/81_i386.html) noch immer weder der erste noch der zweite (falls es ihn gibt) SSHD Patch bereitsteht. Wenn ich nun nicht gerade Nachts Heise Newsticker lesen wuerde, dann waere mir die Existenz eines solches Patches nicht bewusst. Nun die Fragen: 1) Liegt es an mir ? Uebersehe ich etwas ? 2) Schlampt da SuSE ? 3) Mache ich mir das zu kompliziert ? :) cu stonki -- www.stonki.de: the more I see, the more I know....... www.proftpd.de: Deutsche ProFTPD Dokumentation www.krename.net: Der Batch Renamer für KDE www.kbarcode.net: Die Barcode Solution für KDE
Hallo, Stefan Onken wrote: [....]
Nun kommen wir zum eigentlichen Problem: Auf SusE Security habe ich kein Annoucent, auch keine Stellungnahme, zu diesem zweiten Patch gelesen. Kann natuerlich sein, dass diese vor Mittwoch, 7:13 kam, ab diesem Zeitpunkt lese ich die. Viel schlimmer finde ich jedoch,
Aus dem Archiv: http://lists.suse.com/archive/suse-security-announce/2003-Sep/ Gruss horst
Hallo, am Donnerstag, 18. September 2003 um 08:27 schrieb Horst Mueller
Aus dem Archiv: http://lists.suse.com/archive/suse-security-announce/2003-Sep/
ja, das ist aber genau das, was ich in meiner Mail gepostet hatte !! (bitte meine Postings auch lesen *G*) Es geht mir nun um den zweiten patch und darum, dass das erste patch noch nicht in der Download/Patch Ecke "veroeffentlicht" wurde. cu stonki -- Deutsche ProFTP Docs: http://www.proftpd.de, EFNET: #proftpd KDE3 Renamer: http://www.krename.net KDE3 Barcode und Label Solution: http://www.kbarcode.net
Hallo, Stefan Onken wrote:
am Donnerstag, 18. September 2003 um 08:27 schrieb Horst Mueller
Aus dem Archiv: http://lists.suse.com/archive/suse-security-announce/2003-Sep/
ja, das ist aber genau das, was ich in meiner Mail gepostet hatte !!
Hmm, ich wollte Dich nur von Deinen nagenden Selbstzweifeln befreien, etwas übersehen haben zu können. Ich war der irrigen Annahme, dass dies aus dem Kontext des Quotings deutlich geworden wäre;-)
(bitte meine Postings auch lesen *G*) Es geht mir nun um den zweiten patch und darum, dass das erste patch noch nicht in der Download/Patch Ecke "veroeffentlicht" wurde.
Nun, der _erste_ Patch ist verfügbar. Und wer ihn dringend braucht, schaut doch wohl nicht nur in der Download/Patch Ecke nach... Gruss horst
On Thu, 2003-09-18 at 08:13, Stefan Onken wrote:
Hallo,
Ich muss ja sagen, ich fuehle mich ein wenig ueberfordert. Genauer geht es um das (wahrscheinliche, angebliche) SSHD Problem, von dem ich auf Heise gelesen habe. Da ich zwei (Root)Server im Netz habe mit SuSE 8.1, dachte ich mir: Ok, da muss geupdatet werden.
Nun die Fragen: 1) Liegt es an mir ? Uebersehe ich etwas ? 2) Schlampt da SuSE ? 3) Mache ich mir das zu kompliziert ? Mir deutet einiges darauf hin, dass es sich nicht nur um *ein* OpenSSH-Problem handelt, sondern gleich um mehrere und/oder, dass Fixes nicht klar sind (Ich habe die Dinge nicht im Detail verfolgt).
RedHat hat seinen Update jedenfalls (https://rhn.redhat.com/network/errata/details/index.pxt?eid=1837) mindestens einmal ersetzt. Ich tippe deshalb mal darauf, dass SuSE "noch daran arbeitet" und/oder das Ganze etwas "lässiger" sieht (Kein Exploit bekannt) oder aber herunterzuspielen versucht. Laut CERT (http://www.kb.cert.org/vuls/id/333628)ist SuSE jedenfalls ebenfalls davon betroffen, hat sich aber (http://www.kb.cert.org/vuls/id/JARL-5RFQZB) noch nicht dazu geäussert. Ralf
----- Original Message -----
From: "Stefan Onken"
Hallo,
Ich muss ja sagen, ich fuehle mich ein wenig ueberfordert. Genauer geht es um das (wahrscheinliche, angebliche) SSHD Problem, von dem ich auf Heise gelesen habe. Da ich zwei (Root)Server im Netz habe mit SuSE 8.1, dachte ich mir: Ok, da muss geupdatet werden.
Also: http://www.suse.de/de/private/download/updates/81_i386.html aufgerufen. Steht da was ? Nein !
Nun, zunaechst dachte ich mir: ok, die armen SuSE Leute werden Ihren Webauftritt ja auch nicht 24/7 updaten, wurde doch auf heise Online in einem Forum der Link zum ersten Update gepostet: http://www.netzwerk-aktiv.com/pub/doc/newsletters/suse-security-announce/ht ml/0113.html
Das war nun alles so am Dienstag Abend. Ausserdem habe ich mich zu dem Zeitpunkt in SuSE-Security (und SuSE-Announce) eingetragen, in der Erwartung dort etwas ueber neue Updates zu lesen. Nun soll (??) ein zweites Update draussen sein, zumindest habe ich gestern Nacht eine Mitteilung von Astaro fuer unsere Firmenfirewall bekommen, das ein neues Update bereitstellt, eben mit diesem zweiten Patch.
Nun kommen wir zum eigentlichen Problem: Auf SusE Security habe ich kein Annoucent, auch keine Stellungnahme, zu diesem zweiten Patch gelesen. Kann natuerlich sein, dass diese vor Mittwoch, 7:13 kam, ab diesem Zeitpunkt lese ich die. Viel schlimmer finde ich jedoch, dass auf der eigentlichen Update Seite zu SuSE 8.1 (http://www.suse.de/de/private/download/updates/81_i386.html) noch immer weder der erste noch der zweite (falls es ihn gibt) SSHD Patch bereitsteht. Wenn ich nun nicht gerade Nachts Heise Newsticker lesen wuerde, dann waere mir die Existenz eines solches Patches nicht bewusst.
Nun die Fragen: 1) Liegt es an mir ? Uebersehe ich etwas ? 2) Schlampt da SuSE ? 3) Mache ich mir das zu kompliziert ?
Also hier ftp://ftp.gwdg.de/linux/suse/ftp.suse.com/suse/i386/update/8.1/rpm/i586/ liegt ein openssh-Patch, vermutlich der erste, seit dem 16.09. 15:27 Uhr. In der info Datei, steht auch das angesprochene Problem. cu, Thomas
Am Donnerstag, 18. September 2003 08:13 schrieb Stefan Onken:
Also: http://www.suse.de/de/private/download/updates/81_i386.html aufgerufen. Steht da was ? Nein !
Das scheint zumindest bei Openssh gerne mal vorzukommen. Als ich noch Suse 7.0 hatte, ist mir auch aufgefallen, daß Suse ein Openssh Sicherheitsloch nicht auf dieser Seite angekündigt hat, obwohl es einen Patch gab.
Nun kommen wir zum eigentlichen Problem: Auf SusE Security habe ich kein Annoucent, auch keine Stellungnahme, zu diesem zweiten Patch gelesen.
Sicherheit wird bei Suse eben klein geschrieben, oder wenn es einen möglichen Remote-root-exploit von Openssh betrifft, nicht nur klein, sondern garnicht geschrieben: Unter http://www.suse.de/de/security/index.html und http://www.suse.de/de/security/announcements/index.html findet sich jedenfalls kein Sterbenswörtchen über Openssh. Zwar ist es hoch anzurechnen, daß direkt auf der Homepage von Suse ein Link zu "Security" vorhanden ist. Wenn dort dann jedoch existierende Advisories und Patches verschwiegen werden, missbraucht das aber das Vertrauen in Suse.
Viel schlimmer finde ich jedoch, dass auf der eigentlichen Update Seite zu SuSE 8.1 (http://www.suse.de/de/private/download/updates/81_i386.html) noch immer weder der erste noch der zweite (falls es ihn gibt) SSHD Patch bereitsteht.
Du solltest, wenn Du Suse einsetzt, am besten täglich den Suse FTP Server nach Updates für deine Distribution durchsuchen. Manchmal kommt es nämlich auch vor, daß ein Patch zuerst öffentlich einsehbar auf dem FTP Server landet, ein Advisory jedoch erst Tage danach veröffentlicht wird.
Wenn ich nun nicht gerade Nachts Heise Newsticker lesen wuerde, dann waere mir die Existenz eines solches Patches nicht bewusst.
Manchmal wird ein Sicherheitspatch auch recht zeitnah in das YOU System übernommen. Trotzdem lohnt es sich, die Suse Security- und die Full-disclosure Mailinglisten zu beziehen.
Nun die Fragen: 1) Liegt es an mir ? Uebersehe ich etwas ? 2) Schlampt da SuSE ? 3) Mache ich mir das zu kompliziert ?
2) Viele Grüße, Matthias
Am Donnerstag, 18. September 2003 07:13 schrieb Stefan Onken: Seit gestern in das zweite Update duer SSHD drausen. cu stonki -- www.stonki.de: the more I see, the more I know....... www.proftpd.de: Deutsche ProFTPD Dokumentation www.krename.net: Der Batch Renamer für KDE www.kbarcode.net: Die Barcode Solution für KDE
participants (6)
-
Horst Mueller -
matthias-wieser@t-online.de -
Ralf Corsepius -
Stefan Onken -
Stefan Onken -
thomas Gräber