Henne Vogelsang schrieb:
Was wird aus folgendem: "The 3.4 release contains many other fixes done over a week long audit started when this issue came to light. We believe that some of those fixes are likely to be important security fixes. Therefore, we urge an upgrade to 3.4. " [http://www.openssh.com]
Pfff was die erzählen glaubt keiner mehr der sich auch nur annähernd mit security beschäftigt nach der sauerei die die da angerichtet haben.
neuer != besser
Welche Sauerei? Wenn Du die Bugs meinst. Jeder macht Fehler. Wenn Du die Bekanntgabe meinst, dann haben die Sauerei wohl nicht die openssh Leute angerichtet, sondern die Distributoren, die sich nicht genügend informiert haben. Ich befürchte auch, dass sich SuSE nicht genügend über die 2.9.9er informiert hat und das ganz einfach aus Bequemlichkeit mit der Hoffnung, da wird schon nichts weiteres daran fehlen, gemacht haben, um nicht andere Sachen auch noch ändern zu müssen. Ansonsten hätten sie wohl bei der Updateinfo dazu Stellung bezogen und nicht nur zu den Distri-Problemen. Solange Du nichts Belegbares schreibst, werde ich Dir erst recht keinen Glauben schenken. Du kommst hier nur mit allgemeinen Aussagen rüber, obwohl Du selbst auch nicht sagen kannst, dass die 2.9.9er keine bekannten Bugs hat. Nebenbei habe ich aus Deinen Mails nichts Neues erfahren. Es geht hier auch nicht darum ob Neueres besser ist, sondern ob im Neueren weitere alte Fehler gefixt sind und das ist ziemlich wahrscheinlich. Zum Satz: "Es muß auch nicht unbedingt um openssh gehen. Das gillt für jede software." In meinem Fall geht es unbedingt um OpenSSH. Ich glaube nämlich SuSE nicht, dass in der 2.9.9er alle den OpenSSH Entwicklern bekannten Fehler gefixt sind. Ansonsten würden die aus diesen Gründen nicht zu einem 3.4er Update drängen. So Schluss, ich sehe schon es interessiert hier keinen wircklich, ob sein OpenSSH über die 2 bekannt gewordenen Sicherheitslücken hinaus wircklich sicher ist.