10.2-release-p13
- Ersteller pchris
- Erstellt am
-Nuke-
Well-Known Member
Was da genau gepatcht wurde, weiß ich nicht. Sonst hab ich nur das gefunden: https://lists.freebsd.org/pipermail/freebsd-security/2016-March/008862.html
Meine Server scheinen aber nicht durch die DOWN Attack verwundbar zu sein. Hab es aber auch vor dem Patch nicht geprüft.
edit:
weiterführend:
https://svnweb.freebsd.org/base/releng/10.2/UPDATING?limit_changes=0&view=markup&pathrev=296341
Warum p13 jetzt aber da ist, aber eigentlich noch "in Arbeit" ist.... gute Frage..
Meine Server scheinen aber nicht durch die DOWN Attack verwundbar zu sein. Hab es aber auch vor dem Patch nicht geprüft.
edit:
weiterführend:
https://svnweb.freebsd.org/base/releng/10.2/UPDATING?limit_changes=0&view=markup&pathrev=296341
Warum p13 jetzt aber da ist, aber eigentlich noch "in Arbeit" ist.... gute Frage..
Weil OpenSSL Suppe ist. 
Im Ernst. Das Problem ist wohl, dass der Patch vom 3. März subtil die API bricht. Gegen OpenSSL gelinkte Programme crashen auf FreeBSD 9.3 einfach kommentarlos, darunter so unbedeutende Dienste wie sshd. Wie da der Status ist und wieso freebsd-update anscheinend schon Updates ausrollt, weiß ich nicht. Ich würde vom Gefühl her vermuten, dass man den Patch für 10.2 als unbedenklich eingestuft und schon mal freigegeben hat. Die letzte Mail zu dem Thema war: https://lists.freebsd.org/pipermail/freebsd-security/2016-March/008862.html
Im Ernst. Das Problem ist wohl, dass der Patch vom 3. März subtil die API bricht. Gegen OpenSSL gelinkte Programme crashen auf FreeBSD 9.3 einfach kommentarlos, darunter so unbedeutende Dienste wie sshd. Wie da der Status ist und wieso freebsd-update anscheinend schon Updates ausrollt, weiß ich nicht. Ich würde vom Gefühl her vermuten, dass man den Patch für 10.2 als unbedenklich eingestuft und schon mal freigegeben hat. Die letzte Mail zu dem Thema war: https://lists.freebsd.org/pipermail/freebsd-security/2016-March/008862.html
-Nuke-
Well-Known Member
Jetzt wo du es sagst... ArchLinux hat alle Pakete, die gegen OpenSSL linken, auch neu gebaut. Und gerade mal meine Programmier-VM aktualisiert. Ein selbst kompiliertes Ruby funktioniert auch nicht mehr wegen OpenSSL. Musste ich auch neu bauen...
Hängt wohl davon ab welches Programm welche Features von openssl so nimmt. Ist aber natürlich doof, wenn man mit einem offiziellen Security-Release mal eben die API/ABI ändert.
Hängt wohl davon ab welches Programm welche Features von openssl so nimmt. Ist aber natürlich doof, wenn man mit einem offiziellen Security-Release mal eben die API/ABI ändert.
max93
Well-Known Member
Da wollte ich gerade fragen, ob ICH einen Fehler gemacht hab, oder ob jemand mit dem letzten releng/9.3 Patch den sshd stillschweigend für obsolet erklärt hat... Hab heute (zum Glück erst einen!) auf FreeBSD 9.3-p37 aktualisiert und mich dann gewundert, warum ich jetzt nimmer auf den Server komme, die Dienste aber offenbar laufen. Naja, ist nur 'ne halbe Autostunde von hier...
Da wurde offenbar nicht genug getestet *duckundweg*
Ciao.
Markus
Die eigentliche Frage - die ich mir schon mehrfach gestellt habe - ist doch: Warum gibt es offensichtlich keinen zentralen Changelog, in dem die Änderungen von x.y-p<foo> dokumentiert sind?
Die Errata Notices sind ja nur die Sicht "Schwachstelle in Software foo -> gefixt in 9.x-p... und 10.y-p...". Ich würde mir aber die umgekehrte Sicht "Änderungen in 10.x-p123: 1) lala, 2) lala, 3) lala ..." wünschen. Sind das denn _immer_ nur Schwachstellen-Fixes oder auch mal ein Feature oder eine Config-Änderung?
Hat da einer einen erhellenden Hinweis?
Die Errata Notices sind ja nur die Sicht "Schwachstelle in Software foo -> gefixt in 9.x-p... und 10.y-p...". Ich würde mir aber die umgekehrte Sicht "Änderungen in 10.x-p123: 1) lala, 2) lala, 3) lala ..." wünschen. Sind das denn _immer_ nur Schwachstellen-Fixes oder auch mal ein Feature oder eine Config-Änderung?
Hat da einer einen erhellenden Hinweis?
Schaust du in UPDATING: https://svnweb.freebsd.org/base/releng/10.1/UPDATING?view=markup