Experts waarschuwen voor lek in OpenSSH

<b>Arend</b>:<br />Hmmm.

Tijd voor apt-get update & apt-get upgrade....

Zo, alweer klaar. Kunnen we er weer ff tegen.

<b>Roy</b>:<br />Het is http://www.solarspeed.net/news/799.php
Verkeerde link bij zojuist ingezonden reactie.

<b>Jan Reilink</b>:<br />Jullie zijn er weer op tijd bij:
http://www.dsinet.org/?id=3601
Subject : CA-2003-24 Buffer Management Vulnerability in OpenSSH
posted by : Digiover
17-09-2003 09:31

http://www.dsinet.org/?id=3600
Subject : Updated: OpenSSH Security Advisory: buffer.adv
posted by : Digiover
16-09-2003 20:17

<b>PkgMaster.com</b>:<br />Roy, voor Cobalt patches kun je beter gaan naar PkgMaster.com !

<b>eprogrammer</b>:<br />In de praktijk blijkt closed software weer es veiliger.
(Knuppel,hoenderhok)...

<b>Roy Jansen</b>:<br />Wat lees ik nu???? Een lek in het almachtige Linux? Dat kan toch niet??? Ik dacht dat alleen Windows zo lek als een mandje was (dat is althans de mening van menig Linux aanhanger die claimt nooit windows te zullen gebruiken (behalve als er gegamed moet worden, maar goed dat zien ze dan door de vingers))

Kom nu trouwens niet aanzetten met het feit dat get lek reeds gedicht was voor het naar buiten werd gebracht. Het maakt niet uit dat het pas nadat het geicht is naar buiten wordt gebracht, het feit is dat en onder Linux elke dag erg veel lekken worden gevonden. Als alle Linux-lekken die dagelijks gevonden worden (en ja ze worden ook gedicht, maar dat gebeurt met alle lekken op alle OS-en) onder Windows gevonden werden, dan viel de hele wereld (lees: alle Linux liefhebbers) hier weer over, maar nu is er geen haan die er naar kraait. Hoe is dat nou mogelijk.

Ja ik ben een Windows liefhebber en nee ik heb niets tegen Linux (helemaal niet zelfs, ik heb zelf 2 Linux machines draaien), het gaat mij meer om de kritiek die standaard door de zogenaamde Linux kenners wordt geleverd. Vaak zijn degene die deze kritiek het hardst uiten vergelijkbaar met de zg. script kiddies (zelf geen virus kunnen maken, dus maar een kant-en-klaar scriptje gebruiken), ze kunnen amper aan een Linux installatie goed voltooien, niet te spreken of het configureren.

Roy

<b>Tim</b>:<br />Ik snap deze hele nieuws vermelding niet. Er klopt namelijk geen zak van.

Yoeehoee zijn er ook nog echte ICT kenners en mensen die kunnen lezen bij de redactie?.....

Met alle respect maar zoals al gezegd wordt kan je hooguit de SSHD eruit knallen. Mocht er uberhaubt al een tool voor zijn.

Tim

<b>Rob</b>:<br />>Het is een kwestie van tijd voordat de Code-red en Nimda alike virussen ook dit platform gaan lastig vallen.

>Gezien de extreme hoeveelheid builds/distro's/talen en mogelijke combinaties daarvan, kan dit best een bedreiging worden voor Linux.

Neen, die varieteit vormt juist een verdediging.
Doordat er zoveel combinaties zijn is het vaak lastig om een worm te maken die bij iedereen werkt. Dat is bij Windows veel makkelijker omdat iedereen daar met dezelfde eenheidsworst werkt.

Overigens moet je het aantal security bulletins niet verwarren met het aantal veiligheidsproblemen.

<b>jaja</b>:<br />Hoe meer er nu gecheckt en gewerkt word met ssh apache enz enz. (ja ik ook) hoe meer shit er is net zoveel als in windows.
Alleen durfden de lafbekken die linux droomden nooit te zoeken naar Fouten ja Fouten.
Zitten er plenty in in webservers die op linux draaien. Maar ja dat is natuurlijk HET OS... NOT!!!!!!!!!!!!!!!!!!!!!!!

Geef toe dat webservers veel beter draaien op linux dan op windows maar zelfde problemen kwa beveiliging, cobalt raq's en cubes enz. enz. hebben patches van hier tot aan tokio!

<b>Arend</b>:<br />"Linux is ook het besturingssyteem met de meeste "security breaches" op het web en de meeste defacements."

Hetzelfde artikel vermeldt ook:

"within the government environment, the tables were reversed with Windows being the biggest target, counting 51.4 percent of all successful attacks. Linux was in second place with 14.3 percent."

Dit zegt dan weer totaal iets anders.

Het probleem met dat artikel is dat ze met absolute aantallen werken, en dan ook nog eens per gehoste site ipv per server. Dat zegt niets, noppes, nada. ( bron: http://slashdot.org/articles/03/09/11/1951201.shtml?tid=106&tid=185 )

Als je iets zinnigs wil zeggen over de veiligheid van het OS, dan moet je op z'n minst rekening houden met het aantal computers dat onder dat OS draait.
Ook moet je de aangevallen computers tellen en niet het aantal aangevallen websites. Met virtual hosting kunnen er tientallen sites op 1 server gehost worden. Die moet je maar 1 keer meetellen.

<b>W2K3</b>:<br />>Vrij logisch dat het percentage defacements dan hoger ligt.

Nee jou uitspraak klopt niet. Alleen het absolute aantal zou dan hoger moeten zijn.