Hi, On Mittwoch, Juli 03, 2002 at 21:59:51, Markus Kolb wrote:
Henne Vogelsang schrieb:
On Dienstag, Juli 02, 2002 at 20:43:30, Markus Kolb wrote:
mir ist zwar bewusst, dass der Downgrade zur OpenSSH Version 2.9.9p2 von 3.3 irgendwas das Loch schliesst, aber wieso hat man bei SuSE die Gelegenheit nicht genutzt und hat nochmal ein Update hintergeschickt und zwar mit der 3.4er Version?
Weil du mit jedem neuen release auch potentielle neue (unbekannte) bugs bekommst.
Schau mal ins archiv von suse-security die frage ist dort millionenfach beantwortet.
Mit Sicherheit nicht millionenfach ...
Entschuldigung das ich nicht wirklich nachgezählt hab. Es muß auch nicht unbedingt um openssh gehen. Das gillt für jede software.
Es steht dort nichts weiteres als, dass es für die Bequemlichkeit so besser wäre. Macht mittelfristig und langfristig SuSE weniger Arbeit.
Wo steht das? Nicht lügen. Dafür kommt man in die hölle! ;)
Ausserdem ist SuSE 8.0 auch mit openssh 3.4 geupdated worden.
Äpfel mit birnen vergleichen ist auch nicht gut. Natürlich können sich andere Versionen anders verhalten. Immerhin muß ssh mit verschiedensten anderen sachen zusammenspielen. z.b. PAM/MD5 etc.
Es haben übrigens so ziemlich alle anderen Distris bei ihren älteren Ausgaben die 3.4er genommen... Ausnahme: KommerzDistris SuSE und RedHat
Wenn das dein Urteil über die entscheidung des SuSE Security Teams ist dann ist das ähm... dein Problem.
Was wird aus folgendem: "The 3.4 release contains many other fixes done over a week long audit started when this issue came to light. We believe that some of those fixes are likely to be important security fixes. Therefore, we urge an upgrade to 3.4. " [http://www.openssh.com]
Pfff was die erzählen glaubt keiner mehr der sich auch nur annähernd mit security beschäftigt nach der sauerei die die da angerichtet haben. neuer != besser Henne -- Hendrik Vogelsang aka Henne mailto: hvogel<at>hennevogel.de I am Jack's raging bile duct. # random sigs made with fortune