Ich habe zur Zeit Kernel 2.4.20 auf meinem Rechner laufen. Nun stellt sich mir die Frage, ob es sich lohnt auf 2.4.21 up zu daten. Auf meinem Rechner hat keiner Shellzugriff ausser mir, also sind local root exploits die evtl. gefixt wurde nicht von belangen für mich, richtig ?
Oder gibt es noch andere Sicherheitslücken die auch meinen Server betreffen würden, und die in 2.4.21 behoben wurden ?
2.4.20 -> 2.4.21
Re: 2.4.20 -> 2.4.21
Ich habe 2.4.18 mit Patches und der läuft ;)
Imho erübrigt sich damit deine Frage, wir sind ja ned bei Windows, oder?
Imho erübrigt sich damit deine Frage, wir sind ja ned bei Windows, oder?
Re: 2.4.20 -> 2.4.21
Ich hab den Standard SuSe 2.4.20er ;)
Linux version 2.4.20-4GB-athlon
Klar, Linux ist um einiges zuverläßiger als Windows, aber trotzdem gab / gibt es ja exploits die dazu führen konnten dass das System kompromitiert wurde. Deswegen frag ich lieber :>
Linux version 2.4.20-4GB-athlon
Klar, Linux ist um einiges zuverläßiger als Windows, aber trotzdem gab / gibt es ja exploits die dazu führen konnten dass das System kompromitiert wurde. Deswegen frag ich lieber :>
-
captaincrunch
- Userprojekt
- Posts: 7066
- Joined: 2002-10-09 14:30
- Location: Dorsten
- Contact:
Re: 2.4.20 -> 2.4.21
Ja, es gab Lücken im 2.4.20er-Kernel :
http://www.rootforum.org/forum/viewtopic.php?t=12450
Mein Beitrag ganz unten. Da es aber relativ unwahrscheinlich ist, dass du das so einsetzt, dürfte ein Update nicht wirklich zwingend sein, aber (sofern richtig durchgeführt) auch nicht unbedingt schaden.
http://www.rootforum.org/forum/viewtopic.php?t=12450
Mein Beitrag ganz unten. Da es aber relativ unwahrscheinlich ist, dass du das so einsetzt, dürfte ein Update nicht wirklich zwingend sein, aber (sofern richtig durchgeführt) auch nicht unbedingt schaden.
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc
Re: 2.4.20 -> 2.4.21
Wenn ich das richtig verstanden haben (und nachdem ich mein Hirn die letzen 5 Monate nicht mehr benutzen musste, ist das nicht immer der Fall ^^), gibt es nur einen Exploit wenn man das Modul ip_conntrack einsetztn, richtig ?
Ich hab nur folgende Module am Laufen:
isa-pnp 31560 0 (unused)
ipv6 145108 -1 (autoclean)
mousedev 4372 0 (unused)
joydev 5792 0 (unused)
evdev 4192 0 (unused)
input 3264 0 [mousedev joydev evdev]
usb-uhci 23664 0 (unused)
usbcore 63116 1 [usb-uhci]
raw1394 15828 0 (unused)
ieee1394 36496 0 [raw1394]
via-rhine 12912 1 (autoclean)
mii 2528 0 (autoclean) [via-rhine]
reiserfs 217364 1
Ich hab nur folgende Module am Laufen:
isa-pnp 31560 0 (unused)
ipv6 145108 -1 (autoclean)
mousedev 4372 0 (unused)
joydev 5792 0 (unused)
evdev 4192 0 (unused)
input 3264 0 [mousedev joydev evdev]
usb-uhci 23664 0 (unused)
usbcore 63116 1 [usb-uhci]
raw1394 15828 0 (unused)
ieee1394 36496 0 [raw1394]
via-rhine 12912 1 (autoclean)
mii 2528 0 (autoclean) [via-rhine]
reiserfs 217364 1
Re: 2.4.20 -> 2.4.21
Es gibt auch noch den ptrace-Bug, der wurde auch erst in 2.4.21 gefixed, AFAIK. Und ja, auch ohne andere Shell-User sind lokale Root-Exploits von Belang, weil es dadurch schon genügt, einen Dienst zu knacken, der unter einem unprivilegierten User läuft (Bind mit chuser, Apache, MTA, ...) und man damit schon eine Root-Shell hat. -> Immer auch lokale Exploits so schnell wie möglich fixen!
Re: 2.4.20 -> 2.4.21
Ok, das ist klar :)dodolin wrote:Es gibt auch noch den ptrace-Bug, der wurde auch erst in 2.4.21 gefixed, AFAIK. Und ja, auch ohne andere Shell-User sind lokale Root-Exploits von Belang, weil es dadurch schon genügt, einen Dienst zu knacken, der unter einem unprivilegierten User läuft (Bind mit chuser, Apache, MTA, ...) und man damit schon eine Root-Shell hat. -> Immer auch lokale Exploits so schnell wie möglich fixen!
Hab aber nur folgende Dienste nach aussen hin laufen: SSH 3.5p1, pure-ftpd 1.0.14, oidentd 2.07 sowie nen paar Bouncer mit psybnc 2.3.1. Für alle diese Versionen gibt es zur zeit keine Exploits / Sicherheitslücken.
Also kann ich zur Zeit davon ausgehen das ich "relativ" sicher fahre mit 2.4.20 ?
Re: 2.4.20 -> 2.4.21
Relativ, genau das ist das Wort. Ich habe dir die Gefahren aufgezeigt, die Entscheidung kann ich dir nicht abnehmen. Ich würde jedenfalls den Kernel updaten. BTW: Was spricht dagegen? Hast du zu wenig Erfahrung mit Kernel-Updates? Dann solltest du vielleicht den Besitz eines Rootservers nochmals überdenken...Also kann ich zur Zeit davon ausgehen das ich "relativ" sicher fahre mit 2.4.20 ?
Re: 2.4.20 -> 2.4.21
immer diese Versionrennerei...
Was spricht dagegen, einen vernünftig gepatchten Kernel stabil auf einem Server laufen zu lassen, anstellen den allerneuesten einzusetzen? Nix, siehste :P
Was spricht dagegen, einen vernünftig gepatchten Kernel stabil auf einem Server laufen zu lassen, anstellen den allerneuesten einzusetzen? Nix, siehste :P
Re: 2.4.20 -> 2.4.21
Trifft das auch auf Apache 1.3.26 zu?
Oder sollte bei den einzelnen Softwarepaketen ständig die neueste Version installiert werden. Zu mal ja der Apache 1.3.28 einen Bug hat und so das System instabil macht.
Ich frage deshalb da ich bei einen grossen Webseiten auch sehe das die mit der 1.3.26 Version laufen. Und letztens habe ich gelesen das der 1.3.27 ne Lücke für ein Exploit hat. <- kann mich da aber auch täuschen.
Allgemein gefragt muss ich ständig updaten oder gibt es auch Patches die die Lücken oder Bugs beseitigen.
Welchen Version des Apache wird eigentlich bei Debian stable verwendet?
Grüsse
Mike
Oder sollte bei den einzelnen Softwarepaketen ständig die neueste Version installiert werden. Zu mal ja der Apache 1.3.28 einen Bug hat und so das System instabil macht.
Ich frage deshalb da ich bei einen grossen Webseiten auch sehe das die mit der 1.3.26 Version laufen. Und letztens habe ich gelesen das der 1.3.27 ne Lücke für ein Exploit hat. <- kann mich da aber auch täuschen.
Allgemein gefragt muss ich ständig updaten oder gibt es auch Patches die die Lücken oder Bugs beseitigen.
Welchen Version des Apache wird eigentlich bei Debian stable verwendet?
Grüsse
Mike
Re: 2.4.20 -> 2.4.21
Die Distributoren sorgen dafür, dass du Programme einsetzt, die nicht verwundbar sind. Z.B.: SuSE liefert mit ihrem Linux Apache Version 1.3.26 aus. Wochen später findet sich ein Sicherheitsloch und Apache stellt Version 1.3.27 zur Verfügung. SuSE allerdings portiert den entsprechenden Patch auf die Version 1.3.26 zurück und stellt den "neuen" Apache 1.3.26 zur Verfügung.
Versionsnummern der Debian-Pakete kannst du leicht im Internet einsehen, unter:
http://www.debian.org/distrib/packages
Debian-Paket Apache in stable:
http://packages.debian.org/stable/web/apache.html
Versionsnummern der Debian-Pakete kannst du leicht im Internet einsehen, unter:
http://www.debian.org/distrib/packages
Debian-Paket Apache in stable:
http://packages.debian.org/stable/web/apache.html
Re: 2.4.20 -> 2.4.21
Nix. Das habe ich ja auch nicht behauptet, oder? IMHO ging es hier um ungepatchte, alte Versionen. Ob neueste Version oder alte Version mit Patch ist IMHO wurscht, aber gepatched muss das Loch sein, das ist die Hauptsache!Was spricht dagegen, einen vernünftig gepatchten Kernel stabil auf einem Server laufen zu lassen, anstellen den allerneuesten einzusetzen? Nix, siehste
-
captaincrunch
- Userprojekt
- Posts: 7066
- Joined: 2002-10-09 14:30
- Location: Dorsten
- Contact:
Re: 2.4.20 -> 2.4.21
In diesem Fall ein etwas besserer Treiber für die via-rhine-Karten, was aber natürlich wenig mit dem Thread hier zu tun hat ... ;)Was spricht dagegen, einen vernünftig gepatchten Kernel stabil auf einem Server laufen zu lassen, anstellen den allerneuesten einzusetzen? Nix, siehste
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc
Re: 2.4.20 -> 2.4.21
Danke
diese Frage hatte mir schon länger unter den Nägeln gebrannt.
Grüsse
Mike
diese Frage hatte mir schon länger unter den Nägeln gebrannt.
Grüsse
Mike
Re: 2.4.20 -> 2.4.21
K, dann werd ich mir wohl 2.4.21 mit grsec draufpacken ;>