Hallo Allerseits, bei einem routinemäßigen Check mit rkhunter fiel folgendes auf einem SuSE 10.3 Rechner auf: - OpenSSL 0.9.8e [ Vulnerable ] - Procmail MTA 3.22 [ Vulnerable ] - OpenSSH 4.6p1 [ Vulnerable ] Zumindest OpenSSL (0.9.8g) und OpenSSH (4.7p1) liegen ja schon seit einigen Monaten in aktuelleren Versionen vor. Selber upgraden oder kommen die aktuellen Versionen demnächst in die offiziellen Reps rein? -- Bonan tagon, Thomas Trueten http://www.trueten.de PGP Key Id: 553B87AF9AAF67F6 available @ pgp KeyServers Fingerprint = 72A3 7A20 C196 A1E3 4922 F512 553B 87AF 9AAF 67F6 -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Thomas Trueten wrote:
bei einem routinemäßigen Check mit rkhunter fiel folgendes auf einem SuSE 10.3 Rechner auf:
- OpenSSL 0.9.8e [ Vulnerable ] - Procmail MTA 3.22 [ Vulnerable ] - OpenSSH 4.6p1 [ Vulnerable ]
Zumindest OpenSSL (0.9.8g) und OpenSSH (4.7p1) liegen ja schon seit einigen Monaten in aktuelleren Versionen vor.
Selber upgraden oder kommen die aktuellen Versionen demnächst in die offiziellen Reps rein?
Ich nehme an, die oben genannten Pakete wurden alleine aufgrund der Versionsnummer als "vulnerable" eingestuft, oder? Novell/SuSE installiert waehrend der Zeit, in der eine Distribution unterstuetzt wird, normalerweise keine neuen Versionen, sondern portiert Bugfixes zurueck auf die urspruenglich mit der Distribution ausgelieferten Version einer Software. Du musst also schon genauer hinschauen und kannst nicht einfach die Versionsnummer eines Paketes heranziehen, sondern musst ins Changelog schauen, ob Bugs (Du solltest natuerlich dazu wissen, warum die genannten Versionen oben als "vulnerable" eingestuft wurde) in dem Paket gefixt wurden. Normalerweise reagiert Novell/SuSE auf kritische Sicherheitsprobleme in Paketen wie OpenSSL und OpenSSH recht schnell. CU, Th. -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Hallo Thomas, aha. Danke für die Information, dann brauche ich mir wohl keine größeren Sorgen machen sondern kann den schönen Sonntag genießen... --- Original-Nachricht --- Absender: Thomas Hertweck Datum: 24.02.2008 11:57
Novell/SuSE installiert waehrend der Zeit, in der eine Distribution unterstuetzt wird, normalerweise keine neuen Versionen, sondern portiert Bugfixes zurueck auf die urspruenglich mit der Distribution ausgelieferten Version einer Software. Du musst also schon genauer hinschauen und kannst nicht einfach die Versionsnummer eines Paketes heranziehen, sondern musst ins Changelog schauen, ob Bugs (Du solltest natuerlich dazu wissen, warum die genannten Versionen oben als "vulnerable" eingestuft wurde) in dem Paket gefixt wurden. Normalerweise reagiert Novell/SuSE auf kritische Sicherheitsprobleme in Paketen wie OpenSSL und OpenSSH recht schnell.
CU, Th.
-- Bonan tagon, Thomas Trueten http://www.trueten.de PGP Key Id: 553B87AF9AAF67F6 available @ pgp KeyServers Fingerprint = 72A3 7A20 C196 A1E3 4922 F512 553B 87AF 9AAF 67F6 -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
participants (2)
-
Thomas Hertweck -
Thomas Trueten