Security Patch für 6.5 / 6.6

[medV2]

Hey, nur zu Info für unsre OpenBSD Leute da es für die Lücke schon PoCs gibt:

https://www.heise.de/security/meldu...erlaubte-unbefugten-Root-Zugriff-4614460.html

fröhliches Patchen

 

[foxit]

Oh wow war nicht gerade erst so eine Lücke vorhanden?

 

[double-p]

Oh wow war nicht gerade erst so eine Lücke vorhanden?

Es gab letzte Woche einen bug in bsdauth (was remote nur in gewissen non-default situationen moeglich ist);
der hier bezieht sich auf spezielle resource-exhaustions in ld.so - das nur indirekt remote nutzbar ist (browser...).

syspatch(8) und gut ist.

Qualys macht da uebrigens derzeit einen super Job!

 

[CommanderZed]

Sind momentan recht viele, der von letzter Woche wohl spannender, aber ich folge denen einfach auf Twitter und spiele dann zeitnah (Abends oder spätestens am Folgetag) den entsprechenden Patch auf den relevanten Systemen ein, ist ja inzwischen auch Kinderleicht.

Meist mache ich dann auch gleich ein pkg_add -u und schau mal kurz obs sonst noch was gibt

 

[medV2]

Qualys macht da uebrigens derzeit einen super Job!

Ich bin wirklich kein Freund von 30 oder gar 90 Tagen zurückhalten, aber ein paar Tage könnte man den Jungs schon Zeit geben um das zu fixen, bevor man das öffentlich macht, sammt PoC.

 

[CommanderZed]

Ich hab das eher so verstanden, das die beim OpenBSD Team halt einfach so schnell sind im Fixen - gibts da irgendwo genaueres?

 

[double-p]

"den Jungs"? Der Fix ist verfuegbar. Beim ersten waren es ~11 Stunden, beim ld.so ~3 Stunden.

 

[medV2]

Ich hab das eher so verstanden, das die beim OpenBSD Team halt einfach so schnell sind im Fixen - gibts da irgendwo genaueres?

Mhmm ja ich habs nochmal gelesen, kann man so oder so verstehen.

"den Jungs"? Der Fix ist verfuegbar. Beim ersten waren es ~11 Stunden, beim ld.so ~3 Stunden.

Ja? Das steht ja im Text. Qualys weiß aber nicht wie lange die Jungs brauchen und wie schnell sie reagieren. In dem Fall ging wohl alles gut aus. Aber siehe oben, bin mir jetzt auch nicht sicher ob sie es zuerst veröffentlicht, oder auf den Fix gewartet haben..

 

[double-p]

Qualys hat in beiden Faellen auf den Fix gewartet.

 

[medV2]

Qualys hat in beiden Faellen auf den Fix gewartet.

Oh dann ist meine Kritik diesbezüglich natürlich nichtig. Hat heise etwas unglücklich Formuliert, in deren Forum wurde das auch eher andersrum gedeutet. Danke für die Klarstellung.

 

[mark05]

hi

man sollte nicht alles so laut denken , wie es heise schreit .........

holger

 

[Yamagi]

Heise hat in den letzten Jahren sehr nachgelassen. Vieles, was in ihrem Newsticker erscheint, ist unabhängig vom Thema oberflächlich und halbwahr. Oft hat man außerdem das Gefühl, dass der Autor des Artikel überhaupt keine Ahnung von dem Thema hat, über das er schreibt.