bananenBrot
Well-Known Member
Weiß da jemand etwas genaueres? Oder spinnt Theo grad mal wieder rum?
http://thread.gmane.org/gmane.os.openbsd.tech/35722/focus=35731
http://thread.gmane.org/gmane.os.openbsd.tech/35722/focus=35731
OpenSSH Sicherheitslücke in FreeBSD
- Ersteller bananenBrot
- Erstellt am
Schwer zu sagen. Da FreeBSD ein (nahezu) unverändertes OpenSSH nutzt, gibt es zumindest keinen offensichtlichen Grund an der Sicherheit des sshd zu zweifeln. Theo müsste schon ein wenig konkreter werden... Er scheint einfach mal wieder angepisst zu sein. Warum auch immer. Bin mal gespannt, ob da tatsächlich irgendwann eine SA nachkommt. 
bananenBrot
Well-Known Member
Nunja, bei größerem Funding von Firmen wird man immer auf die OpenBSD Foundation verwiesen - und da ist auch ordentlich Funding da.
Wenn das intern halt schlecht aufgeteilt wird, ist das ne andere Sache.
Wenn das intern halt schlecht aufgeteilt wird, ist das ne andere Sache.
Wo wir gerade bei der Foundation sind:
Das Ziel für das diesjährige Funding wurde erreicht. Das soll natürlich nicht dazu ermutigen, nicht weiter zu Spenden oder das nächste Release zu kaufen
Das Ziel für das diesjährige Funding wurde erreicht. Das soll natürlich nicht dazu ermutigen, nicht weiter zu Spenden oder das nächste Release zu kaufen
peterle
Forenkasper
Ist der jemals nicht angepisst?
lockdoc
Well-Known Member
Hier gibs auch 2 threads dazu
https://news.ycombinator.com/item?id=7571982
https://news.ycombinator.com/item?id=7568059
https://news.ycombinator.com/item?id=7571982
https://news.ycombinator.com/item?id=7568059
nakal
Anfänger
Da es der gleiche Code ist, ist die Sicherheitslücke nur am Zusammenspiel mit der ABI, einer Lib festzumachen oder eines nichtstandardisierten Verhaltensunterschied zwischen OpenBSD und FreeBSD.
Naja... aber am Verhalten von Theo kann man schon sehen, dass OpenBSD kein Interesse an Sicherheit hat, sondern ein Kindergartenprojekt voller Kinder ist, die alle sich streiten nach dem Motto "mein Papa ist besser als deiner...". Mit Seriosität hat das ganze Gehabe von Theo nicht viel zu tun. Konsequenterweise kann man ihn auch gleich ignorieren, denn einen Beitrag zur Sicherheit leistet er hier nicht.
Naja... aber am Verhalten von Theo kann man schon sehen, dass OpenBSD kein Interesse an Sicherheit hat, sondern ein Kindergartenprojekt voller Kinder ist, die alle sich streiten nach dem Motto "mein Papa ist besser als deiner...". Mit Seriosität hat das ganze Gehabe von Theo nicht viel zu tun. Konsequenterweise kann man ihn auch gleich ignorieren, denn einen Beitrag zur Sicherheit leistet er hier nicht.
FreeBSDuser
Well-Known Member
Könnte mir vorstellen, dass Juniper nett gefragt hat ob sie es erst publishen, wenn sie Zeit hatten heimlich einen Fix vorzubereiten.
... So 10 monate oder so :P
Und die FreeBSD Leute machen das auchnoch mit, und Theo wurde angeschrieben, weil er upstream is.
Vielleicht hat er ja auch nen NDA unterschrieben, kann aber nich an sich halten.
Die Verschwörungstheorie fehlte in den Posts
... So 10 monate oder so :P
Und die FreeBSD Leute machen das auchnoch mit, und Theo wurde angeschrieben, weil er upstream is.
Vielleicht hat er ja auch nen NDA unterschrieben, kann aber nich an sich halten.
Die Verschwörungstheorie fehlte in den Posts
lechindianer
Kritiker
So wie FreeBSDuser seh ich das auch. Warum sollte Theo ansonsten nicht darüber reden? Ansonsten nimmt er auch kein Blatt vor den Mund.
C
CrimsonKing
Guest
So, wie OpenBSDs Kritiker auf OpenBSD herumhacken, ist das doch verständlich.
nakal
Anfänger
Welche Kritiker? Der einzige, der dauernd über alle anderen herzieht ist Theo. Die anderen benehmen sich anständig und versuchen Theos Albernheiten auf diplomatische Weise zu kaschieren, sodass er nicht auch noch den letzten Respekt verliert, wenn sie seine vom Himmel fallenden Thesen dauernd widerlegen. Das ist immer wieder mein Eindruck hier.
C
CrimsonKing
Guest
nakal
Anfänger
Ich bin nicht so ein Linux-Fanatiker, aber der Unterschied zwischen Torvalds und Theo ist, dass Torvalds zwar dreckig redet, aber es hat auch Sinn was er sagt. Du musst den Gehalt seiner Aussage aber extrahieren, denn OpenBSD ist ein Sicherheitszirkus, viel mehr nicht. Sie vernachlässigen da alles, sogar den Fortschritt, nur um einen Nebenaspekt zu optimieren, der eigentlich nebenbei geschenkt kommen sollte, wenn man Software-Entwicklung sauber betreibt. Mehr ist da in der Aussage erstmal nicht drin und sie ist vollkommen berechtigt.
Verstehe mich jetzt bitte nicht falsch... ich bin offen gegenüber OpenBSD und ich sehe durchaus nützliche Features. Ich bin da immer wohlwollend eingestellt. Nur Theo ist einfach störend und nervt enorm mit seinem nutzlosen Gequatsche. Man sollte eigentlich jemanden mit mehr Charisma an führender Stelle haben.
Verstehe mich jetzt bitte nicht falsch... ich bin offen gegenüber OpenBSD und ich sehe durchaus nützliche Features. Ich bin da immer wohlwollend eingestellt. Nur Theo ist einfach störend und nervt enorm mit seinem nutzlosen Gequatsche. Man sollte eigentlich jemanden mit mehr Charisma an führender Stelle haben.
C
CrimsonKing
Guest
Du musst nicht bei mir um Verzeihung bitten, OpenBSD ist bei mir ein System von mehreren, ich bin da nicht so religiös.
Theo ist sehr technikfixiert, da ist nichts Falsches dran. Ist halt eine ganz andere "Community" als die Waldorfschule Linux, wo alle sich an den Händen halten und fröhliche Lieder singen und Codezeilen in den Kernel reintanzen. An "Haufen masturbierender Affen" finde ich allerdings keinen Gehalt in der Aussage, pardon.
Theo ist sehr technikfixiert, da ist nichts Falsches dran. Ist halt eine ganz andere "Community" als die Waldorfschule Linux, wo alle sich an den Händen halten und fröhliche Lieder singen und Codezeilen in den Kernel reintanzen. An "Haufen masturbierender Affen" finde ich allerdings keinen Gehalt in der Aussage, pardon.
Also ich bin eher froh, dass OpenBSD von jemandem geleitet wird, der den Bullshit aus dem System raushält und sich auf die Technik konzentriert anstatt darauf, irgendwelchen Schneeflöckchen nicht auf den Schlips zu treten.
Was den Fortschritt angeht, ist OpenBSD zur Zeit das einzige BSD, was Treiber für diverse Virtualisierungsumgebungen direkt im Kernel hat. Bei FreeBSD muss man z.B. immer noch grottige VMware Tools installieren, die zur Installation Perl brauchen und unter einem compat layer laufen, weil die ewig nicht upgedatet werden. Was krieg ich bei OpenBSD? vmx(4), vmwpvs(4), vmt(4) und hw.sensors.vmt0.timedelta0. No frills, no bullshit. Versuch mal bei FreeBSD durch den Sumpf an rc-Skripten und rc.conf-Flags durchzusteigen. Nach 10min gibst du dir die Kugel.
Wenn das der "Fortschritt" ist, dann hab ich aber lieber ab und zu jemanden, der mal Scheiße beim Namen nennt. Theo bemerkt man eigentlich immer nur, wenn andere massiv Scheiße bauen oder wenn er gefragt wird, im Gegensatz zu den ganzen Anderen.
Was den Fortschritt angeht, ist OpenBSD zur Zeit das einzige BSD, was Treiber für diverse Virtualisierungsumgebungen direkt im Kernel hat. Bei FreeBSD muss man z.B. immer noch grottige VMware Tools installieren, die zur Installation Perl brauchen und unter einem compat layer laufen, weil die ewig nicht upgedatet werden. Was krieg ich bei OpenBSD? vmx(4), vmwpvs(4), vmt(4) und hw.sensors.vmt0.timedelta0. No frills, no bullshit. Versuch mal bei FreeBSD durch den Sumpf an rc-Skripten und rc.conf-Flags durchzusteigen. Nach 10min gibst du dir die Kugel.
Wenn das der "Fortschritt" ist, dann hab ich aber lieber ab und zu jemanden, der mal Scheiße beim Namen nennt. Theo bemerkt man eigentlich immer nur, wenn andere massiv Scheiße bauen oder wenn er gefragt wird, im Gegensatz zu den ganzen Anderen.
nakal
Anfänger
1) Kannst Du mir ein Beispiel dafür geben, wie Theo "Bullshit aus dem System fernhält"?
2) "Diverse" heißt hier aber VMWare, oder? FreeBSD hat ja Virtualbox-Support im Kernel, nur eben optional als Modul. Ich glaube, dass VMWare nicht so interessant ist auf FreeBSD.
3) Das mit den rc-Skripten und rc.conf verstehe ich jetzt als PEBKAC.
4) Theo merkt nichts, noch nicht einmal, dass er Unsinn redet und damit Respekt und Anerkennung verliert. Und in dem Fall mit OpenSSH auf FreeBSD auch noch die letzte Ehre.
2) "Diverse" heißt hier aber VMWare, oder? FreeBSD hat ja Virtualbox-Support im Kernel, nur eben optional als Modul. Ich glaube, dass VMWare nicht so interessant ist auf FreeBSD.
3) Das mit den rc-Skripten und rc.conf verstehe ich jetzt als PEBKAC.
4) Theo merkt nichts, noch nicht einmal, dass er Unsinn redet und damit Respekt und Anerkennung verliert. Und in dem Fall mit OpenSSH auf FreeBSD auch noch die letzte Ehre.
C
CrimsonKing
Guest
Inwiefern redet er "Unsinn"?
lechindianer
Kritiker
Sicherheit ist für dich ein Nebenaspekt? Diese Aussage ist schon für sich allein schlimm gestellt, aber die Annahme, dass Sicherheit, sobald man Software-Entwicklung sauber betreibt, "geschenkt" daher kommt, widerspricht jeder Erkenntnis der letzten - sagen wir - 30 Jahre. Wenn du ein System baust, dass keine neuen Features mehr einbaut weiter entwickelst, wirst du sicher irgendwann zu einem Punkt kommen, an dem du Sicherheit geschenkt kriegst, aber das wird nicht passieren.
Außerdem vernachlässigen sie nicht den Fortschritt. Mein OpenBSD Laptop läuft wunderbar mit suspend (out-of-the-box) und Gnome 3.10, wenn ich denn möchte. Zeig mir das mal mit einem aktuellen FreeBSD - da geht das immer noch nicht sauber. Da haste bei OpenBSD halt den Vorteil, dass die Entwickler das selbst nutzen und nicht wie leider viele FreeBSD-Entwickler die Leute ein Macbook nutzen.
Er mag eine streitbare Person sein in seinem Charakter, aber dennoch wird er von vielen Leuten wegen seiner fachkundigen Meinung respektiert. Wäre das nicht so, hätten wahrscheinlich schon längst Leute wie z.B. Ted Unangst oder sonst jemand gestänkert.
Warum er die letzte Ehre verlieren sollte, versteh ich auch nicht. Gesetzt dem Fall, dass er sich hingestellt hätte und gesagt: "FreeBSD macht alles blöd - nutzt deren OpenSSH nicht" wäre das nur als ein billiger Trollversuch angekommen. Dadurch, dass er McKusick zuvor Bescheid gegeben hat, zeigt er meiner Meinung nach Professionalität - so läuft das bei Exploitmeldungen im guten Fall immer. Die Firma wird benachrichtigt und ihr Zeit zum fixen des Bugs gegeben. Wenn sie nicht reagiert, wird der Exploit der Öffentlichkeit bekannt gemacht und so Druck auf die Firma ausgeübt, dass sie ihre Probleme gefälligst mal lösen sollen.
-Nuke-
Well-Known Member
Das Problem ist eher, dass all die Investition in Sicherheit dem Projekt auch nicht wirklich hilft. In Hochsicherheitssystemen kommen eher Microkernel basierte Systeme zum Einsatz, am besten noch mit formaler Verifikation. Und du siehst auch an dem Fehler hier... OpenBSD kann noch so sicher sein, sie tun bei externen Projekten auch nichts anderes als sie zu upgraden. Und deren malloc kann da jetzt noch so sicher sein, bei OpenSSL ist es wegen anderer Speicherverwaltung verpufft. Und bei steigender Nutzung von Systemen mit eigener Runtime wird es nicht besser.
Also kann man hier auch abwägen, wie sinnvoll ein hochsicherer Betriebssystemkern ist, wenn alles darüber ein bröckelnder Haufen ist? Ich will damit jetzt auch nicht OpenBSD in irgend einer Weise schlecht machen, aber der Sicherheitsaspekt wiegt auch Betriebssystemebene halt tatsächlich nicht so dermaßen.