Apache 1.3.26

Rund um die Sicherheit des Systems und die Applikationen
goge
Posts: 23
Joined: 2003-05-08 10:01

Apache 1.3.26

Post by goge » 2003-06-05 17:52

Hi,

jetzt mal was anderes!

Da ich mich gerade mit dem Update der Serversoftware beschäftige, seh ich ab und zu mal bei visualroute vorbei und schau mir an, was denn so auf den Server läuft.

Und, was seh ich da, bei rootforum.org/ zeigt er an:

Apache 1.3.26 Unix Debian mod gzip 1.3.19.1a und PHP 4.1.2.

Nanu! 8)

grinch
Posts: 140
Joined: 2002-08-02 11:24

Re: Apache 1.3.26

Post by grinch » 2003-06-05 18:02

jo.. standard debian stable package mit apache und php4 :)

captaincrunch
Userprojekt
Userprojekt
Posts: 7066
Joined: 2002-10-09 14:30
Location: Dorsten

Re: Apache 1.3.26

Post by captaincrunch » 2003-06-05 18:05

Zum einen empfehle ich zu diesem Zweck eher Netcraft ... weiß aber immer noch nicht, was du uns jetzt damit sagen möchtest ?!?
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc

sascha
Posts: 1325
Joined: 2002-04-22 23:08

Re: Apache 1.3.26

Post by sascha » 2003-06-05 19:42

Na er meint dass wir veraltete unsichere Serversoftware einsetzen. :roll:

ll0rd
Posts: 18
Joined: 2003-05-11 17:15

Re: Apache 1.3.26

Post by ll0rd » 2003-06-05 21:00

jo und? Bei vielen Servern, die ich betreue steht da immer Apache 1.3.20, meist ist es aberein 1.3.27. Heutzutage gibt man oft falsche / keine Versionsnummern aus.

floschi
Userprojekt
Userprojekt
Posts: 3247
Joined: 2002-07-18 08:13
Location: München

Re: Apache 1.3.26

Post by floschi » 2003-06-05 21:48

Diese Versionsnummer mit diesem System ist der derzeit sicherste Apache, den du haben kannst. Das beweist, dass dieser Hoster das Thema Sicherheit ganz groß schreibt.

goge
Posts: 23
Joined: 2003-05-08 10:01

Re: Apache 1.3.26

Post by goge » 2003-06-05 21:51

Sascha wrote:Na er meint dass wir veraltete unsichere Serversoftware einsetzen. :roll:
Genau! :)

Aber ich hab auch schon gedacht, dass die Angaben bei Euch sicher gefaket sind!

@ CC: Richtig, netcraft, auf den Namen komm ich nie...

goge
Posts: 23
Joined: 2003-05-08 10:01

Re: Apache 1.3.26

Post by goge » 2003-06-05 21:53

olfi wrote:Diese Versionsnummer mit diesem System ist der derzeit sicherste Apache, den du haben kannst. Das beweist, dass dieser Hoster das Thema Sicherheit ganz groß schreibt.
Sehr gut!

Also muss ich doch SuSe runterschmeissen, fuerchte ich.
Wie kann ich denn bis dahin bei mir auch diese Angaben ausgeben? 8)

sascha
Posts: 1325
Joined: 2002-04-22 23:08

Re: Apache 1.3.26

Post by sascha » 2003-06-05 21:57

Also zum verschleiern der Versionen findest du in unserer FAQ einen Artikel.

Falls es vorhin nicht richtig rübergekommen ist: Ich weiß durchaus dass unsere Versionen sicher sind ;)

floschi
Userprojekt
Userprojekt
Posts: 3247
Joined: 2002-07-18 08:13
Location: München

Re: Apache 1.3.26

Post by floschi » 2003-06-05 22:47

ich will dir hier ja ned deinen Glauben an Versionsnummern nehmen, aber die angezeigte stimmt so, wie sie dasteht ;)

Debian hat eine andere Philosophie als die meisten anderen Distributionen.

Diese Version ist genaus sicher wie die allerneueste, hat aber die instabilen Features der neuesten noch nicht drin.

goge
Posts: 23
Joined: 2003-05-08 10:01

Re: Apache 1.3.26

Post by goge » 2003-06-05 23:16

olfi wrote:ich will dir hier ja ned deinen Glauben an Versionsnummern nehmen, aber die angezeigte stimmt so, wie sie dasteht ;)

Debian hat eine andere Philosophie als die meisten anderen Distributionen.

Diese Version ist genaus sicher wie die allerneueste, hat aber die instabilen Features der neuesten noch nicht drin.
Zur Zeit glaube ich noch Alles und Nichts.
Wie muss ich mir das Leben mit dieser Philosophie denn in der Praxis vorstellen? Jetzt mal nur bezogen auf das Thema Security. Ich gehe dann auf http://www.debian.org/security/ und lese auch die Mailingliste(n). Die dort empfohlenen Pakete installiere ich.

Natuerlich Allgemein ausgedrueckt, abgesehen von den Security Disclaimern, die man jetzt der Vollständigkeit halber noch abgeben muesste...

ll0rd
Posts: 18
Joined: 2003-05-11 17:15

Re: Apache 1.3.26

Post by ll0rd » 2003-06-05 23:36

@Sascha

da wir das thema jetzt ausweiten, bitte in Security verschieben ;) 8)

kase
Posts: 1031
Joined: 2002-10-14 22:56

Re: Apache 1.3.26

Post by kase » 2003-06-05 23:41

Wenn du deine Pakete bei Debian über den Apt Manager installierst, wird immer die sicherste und stabilste Version genommen.

Bei der Mailing List kannste dich aber trotzdem anmelden, da erfährt man immer schnell und bequem, wann mal wieder Zeit für ein automatisches Security Update mittels Apt ist.

captaincrunch
Userprojekt
Userprojekt
Posts: 7066
Joined: 2002-10-09 14:30
Location: Dorsten

Re: Apache 1.3.26

Post by captaincrunch » 2003-06-06 08:11

Wenn du deine Pakete bei Debian über den Apt Manager installierst, wird immer die sicherste und stabilste Version genommen.
Jein : hinzu kommt noch, dass du security.debian.org in deiner sources.list stehen haben musst, sonst ist Essig mit Security-Updates ... ;)

Btw. : Auch wenn hier die "echten" Versionnummern vorliegen, verlassen sich ohnehin nur Scriptkidz darauf, was ihnen da angezeigt wird ... ;)
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc

rob
Posts: 82
Joined: 2002-06-03 21:53
Location: Brandenburg

Re: Apache 1.3.26

Post by rob » 2003-06-06 11:06

goge wrote:
olfi wrote:Diese Versionsnummer mit diesem System ist der derzeit sicherste Apache, den du haben kannst. Das beweist, dass dieser Hoster das Thema Sicherheit ganz groß schreibt.
Sehr gut!

Also muss ich doch SuSe runterschmeissen, fuerchte ich.
Schmeiss mal SuSE runter - das macht dein System sicherer, dann ist nämlich kein OS mehr drauf. Was hat SuSE eigentlich mit dem installierten Apachen zu tun?

goge
Posts: 23
Joined: 2003-05-08 10:01

Re: Apache 1.3.26

Post by goge » 2003-06-06 11:48

rob wrote: Was hat SuSE eigentlich mit dem installierten Apachen zu tun?
Da gibts schon Zusammenhänge. Meine Bemerkung ist in dem Zusammenhang zu sehen, den olfi mit dem Satz "Debian hat eine andere Philosophie als die meisten anderen Distributionen. " umschrieben hat.
Es geht hier darum, welches BS den Administrationsvorlieben des jeweiligen Systemverantwortlichen in möglichst vielen Bereichen am nächsten kommt. Entwickelt hat sich dies aus der Frage, ob die hier eingesetzte Serversoftware veraltet und damit unsicher ist oder nicht. Weitverbreitet Meinung dazu nicht nur in diesem kurzen Thread ist, das debian mit apache einen sicheren server darstellen kann. Und genau dies ist mir in diesem Moment klar geworden, als ich geschrieben habe, dass ich Suse runterschmeissen muss.

Davon abgesehen hat SuSe IMO schon etwas mit dem installierten Apachen zu tun. Ich habe es noch nicht getestet, aber ich denke dieser Zusammenhang sollte klar werden, wenn man das debian apache paket auf dem Suse Server installiert.

Und Du bist sicher, dass man einen webserver ohne BS laufen lassen kann? Aber du sprichst in diesem Moment nicht von einem Apache, oder?

thomi
Posts: 136
Joined: 2002-06-04 22:33
Location: Waldenbuch

Re: Apache 1.3.26

Post by thomi » 2003-06-06 14:55

goge wrote:Weitverbreitet Meinung dazu nicht nur in diesem kurzen Thread ist, das debian mit apache einen sicheren server darstellen kann.
Und? Suse mit Apache kann ebenfalls einen sicheren Server darstellen.
Und genau dies ist mir in diesem Moment klar geworden, als ich geschrieben habe, dass ich Suse runterschmeissen muss.
Muss man nicht.
Davon abgesehen hat SuSe IMO schon etwas mit dem installierten Apachen zu tun.
Nein.

goge
Posts: 23
Joined: 2003-05-08 10:01

Re: Apache 1.3.26

Post by goge » 2003-06-06 15:20

Liebe Suse Freunde,

ich habe doch garnichts gegen dieses BS, und habe auch nichts dagegen geschrieben. Ich habe doch nur festgestellt, dass debian *für mich* interessanter scheint, und *ich* es mir in Zukunft genauer ansehen werde.

:wink:

Und wenn andere auch meiner Meinung sind, dann dies bitte nicht mir vorwerfen.
thomi wrote:
Btw., 1.3.26 ist die aktuellste und damit sicherste Apache 1 Version!
Andere sagen etwas anderes:

Apache 1.3.27 is the best available version of the 1.3 series, and is recommended over all previous 1.3 releases.

mark
Posts: 295
Joined: 2003-04-15 16:48
Location: Oldenburg

Re: Apache 1.3.26

Post by mark » 2003-06-06 15:39

Hi,

die 1.3.27 ist der 1.3.26 definitiv vorzuziehen, da die Veränderungen zwischen 1.3.26 und 1.3.27 nur Sicherheitspatches waren:
The Apache Software Foundation and The Apache Server Project are pleased to announce the release of version 1.3.27 of the Apache HTTP Server. This Announcement notes the significant changes in 1.3.27 as compared to 1.3.26.

This version of Apache is principally a security and bug fix release. A summary of the bug fixes is given at the end of this document. Of particular note is that 1.3.27 addresses and fixes 3 security vulnerabilities.
Siehe:
http://www.apache.org/dist/httpd/Announcement.html

Edit:
Allerdings sind diese fixes meist dann in den "alten" RPMs nachträglich eingeflossen (online_updates?!). Somit fehlen in diesen Versionen eventuell "nur" Funktionen.

Gruß
Mark

captaincrunch
Userprojekt
Userprojekt
Posts: 7066
Joined: 2002-10-09 14:30
Location: Dorsten

Re: Apache 1.3.26

Post by captaincrunch » 2003-06-06 16:10

die 1.3.27 ist der 1.3.26 definitiv vorzuziehen, da die Veränderungen zwischen 1.3.26 und 1.3.27 nur Sicherheitspatches waren:
Dann schau mal ins Changelog des Debianpakets ... ;)
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc

mark
Posts: 295
Joined: 2003-04-15 16:48
Location: Oldenburg

Re: Apache 1.3.26

Post by mark » 2003-06-06 16:36

CaptainCrunch wrote:Dann schau mal ins Changelog des Debianpakets ... ;)
Ich kann da gerade nicht reinschauen. Aber ich vermute mal, dass dort die ganzen Security fixes aufgeführt sind:
Edit:
Allerdings sind diese fixes meist dann in den "alten" RPMs nachträglich eingeflossen (online_updates?!).
Deswegen ist ja auch der Debian Apache 1.3.26 noch immer sicher, gell ?!

RPMs mit alten Versionen sind im normalfall sicher (wenn aktualisiert). Alte SOURCEN dagegen sind sofort zu aktualisieren :)

Gruß
Mark

captaincrunch
Userprojekt
Userprojekt
Posts: 7066
Joined: 2002-10-09 14:30
Location: Dorsten

Re: Apache 1.3.26

Post by captaincrunch » 2003-06-06 16:49

Ich kann da gerade nicht reinschauen. Aber ich vermute mal, dass dort die ganzen Security fixes aufgeführt sind:
OK, biddeschön : ;)
apache (1.3.26-0woody3) stable-security; urgency=medium

* Added another fix against two overflowed buffer in the htdigest
program

-- Martin Schulze <joey@infodrom.org> Sat, 26 Oct 2002 09:48:11 +0200

apache (1.3.26-0woody2) stable-security; urgency=high

* Non-maintainer upload by the Security Team
* Backport security fixes from 1.3.27 for the following issues:
- CAN-2002-0839 (shared memory scoreboard uid/gid)
- CAN-2002-0840 (cross-site scripting in error page)
- CAN-2002-0843 (buffer overflows in ApacheBench ab.c)
* Fix insecure temporary file creation in htpasswd (mdz)
* Fix insecure temporary file creation in htdigest (joey)

-- Matt Zimmerman <mdz@debian.org> Thu, 3 Oct 2002 16:01:51 -0400
Deswegen ist ja auch der Debian Apache 1.3.26 noch immer sicher, gell ?!
Ich kann zwar nichts für die RPM's sprechen, die Debian-Version aber auf jeden Fall.
Alte SOURCEN dagegen sind sofort zu aktualisieren
Das ist halt einer der Nachteile, wenn man meint, man könnte es besser als sein Paketmanager ... ;)
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc

thomi
Posts: 136
Joined: 2002-06-04 22:33
Location: Waldenbuch

Re: Apache 1.3.26

Post by thomi » 2003-06-07 09:10

goge wrote:Liebe Suse Freunde,
Wo?
thomi wrote: Btw., 1.3.26 ist die aktuellste und damit sicherste Apache 1 Version!
Andere sagen etwas anderes:
Apache 1.3.27 is the best available version of the 1.3 series, and is recommended over all previous 1.3 releases.
Jaja, das war ein Irrtum meinerseits und stand da keine 5 Minuten. :wink: