OpenSSH Security Update = Downgrade
Hi, mir ist zwar bewusst, dass der Downgrade zur OpenSSH Version 2.9.9p2 von 3.3 irgendwas das Loch schliesst, aber wieso hat man bei SuSE die Gelegenheit nicht genutzt und hat nochmal ein Update hintergeschickt und zwar mit der 3.4er Version? Schliesslich wird das vom OpenSSH Programmierer empfohlen und umsonst ist so eine Empfehlung trotz aller Patches nicht. SuSE Version 7.2 cu
Am Die, 2002-07-02 um 20.43 schrieb Markus Kolb:
Hi,
mir ist zwar bewusst, dass der Downgrade zur OpenSSH Version 2.9.9p2 von 3.3 irgendwas das Loch schliesst, aber wieso hat man bei SuSE die Gelegenheit nicht genutzt und hat nochmal ein Update hintergeschickt und zwar mit der 3.4er Version? Schliesslich wird das vom OpenSSH Programmierer empfohlen und umsonst ist so eine Empfehlung trotz aller Patches nicht. SuSE Version 7.2 Hmm, ich habe hier ne SuSE 8.0 und ich sehe da das folgende auf dem Schirm:
Package /var/lib/YaST/patches/i386/update/8.0/sec1/openssh-3.4p1-4.i386.patch.rpm Ist allerdings ne 8.0er SuSE... Bye, Marcus -- You can't be a real country unless you have a beer and an airline. It helps if you have some kind of a football team, or some nuclear weapons, but at the very least you need a beer. -- Frank Zappa
Hi, On Dienstag, Juli 02, 2002 at 20:43:30, Markus Kolb wrote:
mir ist zwar bewusst, dass der Downgrade zur OpenSSH Version 2.9.9p2 von 3.3 irgendwas das Loch schliesst, aber wieso hat man bei SuSE die Gelegenheit nicht genutzt und hat nochmal ein Update hintergeschickt und zwar mit der 3.4er Version?
Weil du mit jedem neuen release auch potentielle neue (unbekannte) bugs bekommst. Schau mal ins archiv von suse-security die frage ist dort millionenfach beantwortet. Henne -- Hendrik Vogelsang aka Henne mailto: hvogel<at>hennevogel.de Our generation has had no Great Depression, no Great War. Our war is spiritual. Our depression is our lives. # random sigs made with fortune
Henne Vogelsang schrieb:
Hi,
On Dienstag, Juli 02, 2002 at 20:43:30, Markus Kolb wrote:
mir ist zwar bewusst, dass der Downgrade zur OpenSSH Version 2.9.9p2 von 3.3 irgendwas das Loch schliesst, aber wieso hat man bei SuSE die Gelegenheit nicht genutzt und hat nochmal ein Update hintergeschickt und zwar mit der 3.4er Version?
Weil du mit jedem neuen release auch potentielle neue (unbekannte) bugs bekommst.
Schau mal ins archiv von suse-security die frage ist dort millionenfach beantwortet.
Henne
Mit Sicherheit nicht millionenfach ... Es steht dort nichts weiteres als, dass es für die Bequemlichkeit so besser wäre. Macht mittelfristig und langfristig SuSE weniger Arbeit. Ausserdem ist SuSE 8.0 auch mit openssh 3.4 geupdated worden. Es haben übrigens so ziemlich alle anderen Distris bei ihren älteren Ausgaben die 3.4er genommen... Ausnahme: KommerzDistris SuSE und RedHat Was wird aus folgendem: "The 3.4 release contains many other fixes done over a week long audit started when this issue came to light. We believe that some of those fixes are likely to be important security fixes. Therefore, we urge an upgrade to 3.4. " [http://www.openssh.com]
Hi, On Mittwoch, Juli 03, 2002 at 21:59:51, Markus Kolb wrote:
Henne Vogelsang schrieb:
On Dienstag, Juli 02, 2002 at 20:43:30, Markus Kolb wrote:
mir ist zwar bewusst, dass der Downgrade zur OpenSSH Version 2.9.9p2 von 3.3 irgendwas das Loch schliesst, aber wieso hat man bei SuSE die Gelegenheit nicht genutzt und hat nochmal ein Update hintergeschickt und zwar mit der 3.4er Version?
Weil du mit jedem neuen release auch potentielle neue (unbekannte) bugs bekommst.
Schau mal ins archiv von suse-security die frage ist dort millionenfach beantwortet.
Mit Sicherheit nicht millionenfach ...
Entschuldigung das ich nicht wirklich nachgezählt hab. Es muß auch nicht unbedingt um openssh gehen. Das gillt für jede software.
Es steht dort nichts weiteres als, dass es für die Bequemlichkeit so besser wäre. Macht mittelfristig und langfristig SuSE weniger Arbeit.
Wo steht das? Nicht lügen. Dafür kommt man in die hölle! ;)
Ausserdem ist SuSE 8.0 auch mit openssh 3.4 geupdated worden.
Äpfel mit birnen vergleichen ist auch nicht gut. Natürlich können sich andere Versionen anders verhalten. Immerhin muß ssh mit verschiedensten anderen sachen zusammenspielen. z.b. PAM/MD5 etc.
Es haben übrigens so ziemlich alle anderen Distris bei ihren älteren Ausgaben die 3.4er genommen... Ausnahme: KommerzDistris SuSE und RedHat
Wenn das dein Urteil über die entscheidung des SuSE Security Teams ist dann ist das ähm... dein Problem.
Was wird aus folgendem: "The 3.4 release contains many other fixes done over a week long audit started when this issue came to light. We believe that some of those fixes are likely to be important security fixes. Therefore, we urge an upgrade to 3.4. " [http://www.openssh.com]
Pfff was die erzählen glaubt keiner mehr der sich auch nur annähernd mit security beschäftigt nach der sauerei die die da angerichtet haben. neuer != besser Henne -- Hendrik Vogelsang aka Henne mailto: hvogel<at>hennevogel.de I am Jack's raging bile duct. # random sigs made with fortune
Henne Vogelsang schrieb:
Was wird aus folgendem: "The 3.4 release contains many other fixes done over a week long audit started when this issue came to light. We believe that some of those fixes are likely to be important security fixes. Therefore, we urge an upgrade to 3.4. " [http://www.openssh.com]
Pfff was die erzählen glaubt keiner mehr der sich auch nur annähernd mit security beschäftigt nach der sauerei die die da angerichtet haben.
neuer != besser
Welche Sauerei? Wenn Du die Bugs meinst. Jeder macht Fehler. Wenn Du die Bekanntgabe meinst, dann haben die Sauerei wohl nicht die openssh Leute angerichtet, sondern die Distributoren, die sich nicht genügend informiert haben. Ich befürchte auch, dass sich SuSE nicht genügend über die 2.9.9er informiert hat und das ganz einfach aus Bequemlichkeit mit der Hoffnung, da wird schon nichts weiteres daran fehlen, gemacht haben, um nicht andere Sachen auch noch ändern zu müssen. Ansonsten hätten sie wohl bei der Updateinfo dazu Stellung bezogen und nicht nur zu den Distri-Problemen. Solange Du nichts Belegbares schreibst, werde ich Dir erst recht keinen Glauben schenken. Du kommst hier nur mit allgemeinen Aussagen rüber, obwohl Du selbst auch nicht sagen kannst, dass die 2.9.9er keine bekannten Bugs hat. Nebenbei habe ich aus Deinen Mails nichts Neues erfahren. Es geht hier auch nicht darum ob Neueres besser ist, sondern ob im Neueren weitere alte Fehler gefixt sind und das ist ziemlich wahrscheinlich. Zum Satz: "Es muß auch nicht unbedingt um openssh gehen. Das gillt für jede software." In meinem Fall geht es unbedingt um OpenSSH. Ich glaube nämlich SuSE nicht, dass in der 2.9.9er alle den OpenSSH Entwicklern bekannten Fehler gefixt sind. Ansonsten würden die aus diesen Gründen nicht zu einem 3.4er Update drängen. So Schluss, ich sehe schon es interessiert hier keinen wircklich, ob sein OpenSSH über die 2 bekannt gewordenen Sicherheitslücken hinaus wircklich sicher ist.
Markus Kolb
Ich glaube nämlich SuSE nicht, dass in der 2.9.9er alle den OpenSSH Entwicklern bekannten Fehler gefixt sind.
Selbst wenn dem so wäre, läge der schwarze Peter beim OpenSSH-Team, da diese Fixes dann nicht sauber dokumentiert sind. Bei so wichtigen Eckpfeilern werden wir uns, soweit als überhaupt möglich, *nicht* allein auf eine Aussage wie "aktualisieren Sie auf Version X.Y" verlassen. Generell gilt für *alle* Pakete von SuSE Linux, dass im Update nur Bug- und Sicherheits-Fixes eingespielt werden und *keine* Versions-Updates, ausser es ist unumgänglich.
Ansonsten würden die aus diesen Gründen nicht zu einem 3.4er Update drängen.
Die gehen davon aus, das kaum jemand das Programm so gut versteht wie sie selbst. Ausserdem wollen sie niemandem zumuten, den Fix auf ältere Versionen zu portieren, aber umgekehrt wollen sie diese Arbeit auch nicht selber machen. Also wird empfohlen, auf die aktuelle Version zu gehen. Philipp
participants (4)
-
Henne Vogelsang -
Marcus Franke -
Markus Kolb -
Philipp Thomas