1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Anonymisierung: Mit Tails in den…

Total uninteressant

  1. Thema

Neues Thema Ansicht wechseln


  1. Total uninteressant

    Autor: gadthrawn 22.04.14 - 12:49

    Zitat "Tails selbst ist aber wohl von dem Heartbleed-Bug nicht betroffen, da es eine ältere Version der Openssl-Bibliothek verwendet."

    Das stimmt auch für viele Router - die genau wie Tails viele ANDERE ungepatchte Sicherheitslücken in OpenSSL haben.

  2. Re: Total uninteressant

    Autor: tailer 22.04.14 - 17:00

    gadthrawn schrieb:
    --------------------------------------------------------------------------------
    > Das stimmt auch für viele Router - die genau wie Tails viele ANDERE
    > ungepatchte Sicherheitslücken in OpenSSL haben.

    Das habe ich mir doch gleich gedacht! gadthrawn kannst du mal hier noch aufschreiben welche das sind.

  3. Re: Total uninteressant

    Autor: gadthrawn 23.04.14 - 09:03

    tailer schrieb:
    --------------------------------------------------------------------------------
    > Das habe ich mir doch gleich gedacht! gadthrawn kannst du mal hier noch
    > aufschreiben welche das sind.

    Tails nutzt 0.9.8o - Stand von Juni 2010
    Aktuell ist in dem 0.9.8er Zweig 0.9.8y - Stand Februar 2013 (0.9.8 wird nicht mehr gepflegt, ist also auch über ein Jahr alt)
    -> https://www.openssl.org/news/vulnerabilities.html

    Manche Router (D. Vigor) verwenden z.B. 0.9.8b in modifizierter Form.

  4. Re: Total uninteressant

    Autor: cr_app 23.04.14 - 10:29

    gadthrawn schrieb:
    --------------------------------------------------------------------------------
    > tailer schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Das habe ich mir doch gleich gedacht! gadthrawn kannst du mal hier noch
    > > aufschreiben welche das sind.
    >
    > Tails nutzt 0.9.8o - Stand von Juni 2010
    > Aktuell ist in dem 0.9.8er Zweig 0.9.8y - Stand Februar 2013 (0.9.8 wird
    > nicht mehr gepflegt, ist also auch über ein Jahr alt)
    > -> www.openssl.org
    >
    > Manche Router (D. Vigor) verwenden z.B. 0.9.8b in modifizierter Form.

    Hast du eigentlich irgendeine Ahnung wie klassische Linuxdistributionen ihre Pakete pflegen? Wenn ich das richtig verstanden habe basiert Tails auf Debian Squeeze. Schauen wir uns doch mal den Debian Changelog für openSSL 0.9.8o an:

    http://metadata.ftp-master.debian.org/changelogs//main/o/openssl/openssl_0.9.8o-4squeeze14_changelog

    Hast du bei den anderen 5 CVEs überhaupt nachgeschaut ob der 0.9.8er Codezweig betroffen ist? Es ist schon unglaublich wie viele Leute gerade aus der Deckung kommen und auf Opensource, Linux herumhacken ohne den geringsten Schimmer zu haben.

  5. Re: Total uninteressant

    Autor: wmayer 23.04.14 - 18:24

    Zeigt ja wieder wie schön übersichtlich alles ist.

  6. Re: Total uninteressant

    Autor: WolfgangS 23.04.14 - 21:36

    cr_app schrieb:
    --------------------------------------------------------------------------------
    > gadthrawn schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > tailer schrieb:
    > >
    > ---------------------------------------------------------------------------
    >
    > > -----
    > > > Das habe ich mir doch gleich gedacht! gadthrawn kannst du mal hier
    > noch
    > > > aufschreiben welche das sind.
    > >
    > > Tails nutzt 0.9.8o - Stand von Juni 2010
    > > Aktuell ist in dem 0.9.8er Zweig 0.9.8y - Stand Februar 2013 (0.9.8 wird
    > > nicht mehr gepflegt, ist also auch über ein Jahr alt)
    > > -> www.openssl.org
    > >
    > > Manche Router (D. Vigor) verwenden z.B. 0.9.8b in modifizierter Form.
    >
    > Hast du eigentlich irgendeine Ahnung wie klassische Linuxdistributionen
    > ihre Pakete pflegen? Wenn ich das richtig verstanden habe basiert Tails auf
    > Debian Squeeze. Schauen wir uns doch mal den Debian Changelog für openSSL
    > 0.9.8o an:
    >
    > metadata.ftp-master.debian.org
    >
    > Hast du bei den anderen 5 CVEs überhaupt nachgeschaut ob der 0.9.8er
    > Codezweig betroffen ist? Es ist schon unglaublich wie viele Leute gerade
    > aus der Deckung kommen und auf Opensource, Linux herumhacken ohne den
    > geringsten Schimmer zu haben.

    Ja - Tails basiert auf einer einige Jahren alten Version von debian squeeze (natürlich nicht auf der neuesten).

    Mit Sicherheit hat es Debian aber nicht sonderlich.

    Gerade zu Debian und OpenSSL , ach Google doch mal selbst nach "The Debian OpenSSL Bug: Backdoor or Security Accident?" - auch eine Lücke die über 2 Jahre offen bleib, eben weil Debian Entwickler selber noch mal Anpassungen machen. https://www.schneier.com/blog/archives/2008/05/random_number_b.html

    Es ist eher unglaublich wieviele Leute ohne Ahnung Linux und OpenSource in den Himmel loben.

  7. Re: Total uninteressant

    Autor: gadthrawn 24.04.14 - 07:55

    cr_app schrieb:
    --------------------------------------------------------------------------------
    > gadthrawn schrieb:

    > > Tails nutzt 0.9.8o - Stand von Juni 2010
    > > Aktuell ist in dem 0.9.8er Zweig 0.9.8y - Stand Februar 2013 (0.9.8 wird
    > > nicht mehr gepflegt, ist also auch über ein Jahr alt)
    > > -> www.openssl.org
    > Hast du eigentlich irgendeine Ahnung wie klassische Linuxdistributionen
    > ihre Pakete pflegen? Wenn ich das richtig verstanden habe basiert Tails auf
    > Debian Squeeze. Schauen wir uns doch mal den Debian Changelog für openSSL
    > 0.9.8o an:

    Irrelevant. 1. Ist Tails auf einem älteren squeeze. 2. sind debian-Anpassungen an Software teilweise Sachen, die Sicherheitslücken öffnen. 3. Wenn wirklich alle Lücken gefixt wären, könnte debian ja gleich eine neuere Version verwenden. So verschleiern sie und machen Prüfungen noch schwerer.

    > Hast du bei den anderen 5 CVEs überhaupt nachgeschaut ob der 0.9.8er
    > Codezweig betroffen ist?

    Der 0.9.8er Codezweig ist abgekündigt. Egal was für Lücken entstehen, der OpenSSL Author überprüft den selber nicht mehr.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. Expertinnen bzw. Experten Qualitätssicherung Softwareentwicklung (w/m/d)
    Statistisches Bundesamt, Wiesbaden
  2. IT Consultant S/4 HANA - MDG Materialstamm (m/w/d)
    Schaeffler Technologies AG & Co. KG, Nürnberg
  3. Trainee (m/w/d)
    VOLTARIS GmbH, Maxdorf
  4. SAP MM Senior Prozess-Berater (m/w/x)
    über duerenhoff GmbH, Raum Hamburg

Detailsuche


Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. 7,49€
  2. 50,99€ (mit Rabattcode "STRIVE")
  3. 14,99€
  4. gratis (bis 17.06.


Haben wir etwas übersehen?

E-Mail an news@golem.de