RootForum Community

Hi,

jetzt mal was anderes!

Da ich mich gerade mit dem Update der Serversoftware beschäftige, seh ich ab und zu mal bei visualroute vorbei und schau mir an, was denn so auf den Server läuft.

Und, was seh ich da, bei rootforum.org/ zeigt er an:

Apache 1.3.26 Unix Debian mod gzip 1.3.19.1a und PHP 4.1.2.

Nanu! 8)

jo.. standard debian stable package mit apache und php4 :)

Zum einen empfehle ich zu diesem Zweck eher Netcraft ... weiß aber immer noch nicht, was du uns jetzt damit sagen möchtest ?!?

Na er meint dass wir veraltete unsichere Serversoftware einsetzen. :roll:

jo und? Bei vielen Servern, die ich betreue steht da immer Apache 1.3.20, meist ist es aberein 1.3.27. Heutzutage gibt man oft falsche / keine Versionsnummern aus.

Diese Versionsnummer mit diesem System ist der derzeit sicherste Apache, den du haben kannst. Das beweist, dass dieser Hoster das Thema Sicherheit ganz groß schreibt.

Sascha wrote:Na er meint dass wir veraltete unsichere Serversoftware einsetzen. :roll:

Genau! :)

Aber ich hab auch schon gedacht, dass die Angaben bei Euch sicher gefaket sind!

@ CC: Richtig, netcraft, auf den Namen komm ich nie...

olfi wrote:Diese Versionsnummer mit diesem System ist der derzeit sicherste Apache, den du haben kannst. Das beweist, dass dieser Hoster das Thema Sicherheit ganz groß schreibt.

Sehr gut!

Also muss ich doch SuSe runterschmeissen, fuerchte ich.
Wie kann ich denn bis dahin bei mir auch diese Angaben ausgeben? 8)

Also zum verschleiern der Versionen findest du in unserer FAQ einen Artikel.

Falls es vorhin nicht richtig rübergekommen ist: Ich weiß durchaus dass unsere Versionen sicher sind ;)

ich will dir hier ja ned deinen Glauben an Versionsnummern nehmen, aber die angezeigte stimmt so, wie sie dasteht ;)

Debian hat eine andere Philosophie als die meisten anderen Distributionen.

Diese Version ist genaus sicher wie die allerneueste, hat aber die instabilen Features der neuesten noch nicht drin.

olfi wrote:ich will dir hier ja ned deinen Glauben an Versionsnummern nehmen, aber die angezeigte stimmt so, wie sie dasteht ;)

Debian hat eine andere Philosophie als die meisten anderen Distributionen.

Diese Version ist genaus sicher wie die allerneueste, hat aber die instabilen Features der neuesten noch nicht drin.

Zur Zeit glaube ich noch Alles und Nichts.
Wie muss ich mir das Leben mit dieser Philosophie denn in der Praxis vorstellen? Jetzt mal nur bezogen auf das Thema Security. Ich gehe dann auf http://www.debian.org/security/ und lese auch die Mailingliste(n). Die dort empfohlenen Pakete installiere ich.

Natuerlich Allgemein ausgedrueckt, abgesehen von den Security Disclaimern, die man jetzt der Vollständigkeit halber noch abgeben muesste...

@Sascha

da wir das thema jetzt ausweiten, bitte in Security verschieben ;) 8)

Wenn du deine Pakete bei Debian über den Apt Manager installierst, wird immer die sicherste und stabilste Version genommen.

Bei der Mailing List kannste dich aber trotzdem anmelden, da erfährt man immer schnell und bequem, wann mal wieder Zeit für ein automatisches Security Update mittels Apt ist.

Wenn du deine Pakete bei Debian über den Apt Manager installierst, wird immer die sicherste und stabilste Version genommen.

Jein : hinzu kommt noch, dass du security.debian.org in deiner sources.list stehen haben musst, sonst ist Essig mit Security-Updates ... ;)

Btw. : Auch wenn hier die "echten" Versionnummern vorliegen, verlassen sich ohnehin nur Scriptkidz darauf, was ihnen da angezeigt wird ... ;)

goge wrote:

olfi wrote:Diese Versionsnummer mit diesem System ist der derzeit sicherste Apache, den du haben kannst. Das beweist, dass dieser Hoster das Thema Sicherheit ganz groß schreibt.

Sehr gut!

Also muss ich doch SuSe runterschmeissen, fuerchte ich.

Schmeiss mal SuSE runter - das macht dein System sicherer, dann ist nämlich kein OS mehr drauf. Was hat SuSE eigentlich mit dem installierten Apachen zu tun?

rob wrote: Was hat SuSE eigentlich mit dem installierten Apachen zu tun?

Da gibts schon Zusammenhänge. Meine Bemerkung ist in dem Zusammenhang zu sehen, den olfi mit dem Satz "Debian hat eine andere Philosophie als die meisten anderen Distributionen. " umschrieben hat.
Es geht hier darum, welches BS den Administrationsvorlieben des jeweiligen Systemverantwortlichen in möglichst vielen Bereichen am nächsten kommt. Entwickelt hat sich dies aus der Frage, ob die hier eingesetzte Serversoftware veraltet und damit unsicher ist oder nicht. Weitverbreitet Meinung dazu nicht nur in diesem kurzen Thread ist, das debian mit apache einen sicheren server darstellen kann. Und genau dies ist mir in diesem Moment klar geworden, als ich geschrieben habe, dass ich Suse runterschmeissen muss.

Davon abgesehen hat SuSe IMO schon etwas mit dem installierten Apachen zu tun. Ich habe es noch nicht getestet, aber ich denke dieser Zusammenhang sollte klar werden, wenn man das debian apache paket auf dem Suse Server installiert.

Und Du bist sicher, dass man einen webserver ohne BS laufen lassen kann? Aber du sprichst in diesem Moment nicht von einem Apache, oder?

goge wrote:Weitverbreitet Meinung dazu nicht nur in diesem kurzen Thread ist, das debian mit apache einen sicheren server darstellen kann.

Und? Suse mit Apache kann ebenfalls einen sicheren Server darstellen.

Und genau dies ist mir in diesem Moment klar geworden, als ich geschrieben habe, dass ich Suse runterschmeissen muss.

Muss man nicht.

Davon abgesehen hat SuSe IMO schon etwas mit dem installierten Apachen zu tun.

Nein.

Liebe Suse Freunde,

ich habe doch garnichts gegen dieses BS, und habe auch nichts dagegen geschrieben. Ich habe doch nur festgestellt, dass debian *für mich* interessanter scheint, und *ich* es mir in Zukunft genauer ansehen werde.



Und wenn andere auch meiner Meinung sind, dann dies bitte nicht mir vorwerfen.

thomi wrote:
Btw., 1.3.26 ist die aktuellste und damit sicherste Apache 1 Version!

Andere sagen etwas anderes:

Apache 1.3.27 is the best available version of the 1.3 series, and is recommended over all previous 1.3 releases.

Hi,

die 1.3.27 ist der 1.3.26 definitiv vorzuziehen, da die Veränderungen zwischen 1.3.26 und 1.3.27 nur Sicherheitspatches waren:

The Apache Software Foundation and The Apache Server Project are pleased to announce the release of version 1.3.27 of the Apache HTTP Server. This Announcement notes the significant changes in 1.3.27 as compared to 1.3.26.

This version of Apache is principally a security and bug fix release. A summary of the bug fixes is given at the end of this document. Of particular note is that 1.3.27 addresses and fixes 3 security vulnerabilities.

Siehe:
http://www.apache.org/dist/httpd/Announcement.html

Edit:
Allerdings sind diese fixes meist dann in den "alten" RPMs nachträglich eingeflossen (online_updates?!). Somit fehlen in diesen Versionen eventuell "nur" Funktionen.

Gruß
Mark

die 1.3.27 ist der 1.3.26 definitiv vorzuziehen, da die Veränderungen zwischen 1.3.26 und 1.3.27 nur Sicherheitspatches waren:

Dann schau mal ins Changelog des Debianpakets ... ;)

CaptainCrunch wrote:Dann schau mal ins Changelog des Debianpakets ... ;)

Ich kann da gerade nicht reinschauen. Aber ich vermute mal, dass dort die ganzen Security fixes aufgeführt sind:

Edit:
Allerdings sind diese fixes meist dann in den "alten" RPMs nachträglich eingeflossen (online_updates?!).

Deswegen ist ja auch der Debian Apache 1.3.26 noch immer sicher, gell ?!

RPMs mit alten Versionen sind im normalfall sicher (wenn aktualisiert). Alte SOURCEN dagegen sind sofort zu aktualisieren :)

Gruß
Mark

Ich kann da gerade nicht reinschauen. Aber ich vermute mal, dass dort die ganzen Security fixes aufgeführt sind:

OK, biddeschön : ;)

apache (1.3.26-0woody3) stable-security; urgency=medium

* Added another fix against two overflowed buffer in the htdigest
program

-- Martin Schulze <joey@infodrom.org> Sat, 26 Oct 2002 09:48:11 +0200

apache (1.3.26-0woody2) stable-security; urgency=high

* Non-maintainer upload by the Security Team
* Backport security fixes from 1.3.27 for the following issues:
- CAN-2002-0839 (shared memory scoreboard uid/gid)
- CAN-2002-0840 (cross-site scripting in error page)
- CAN-2002-0843 (buffer overflows in ApacheBench ab.c)
* Fix insecure temporary file creation in htpasswd (mdz)
* Fix insecure temporary file creation in htdigest (joey)

-- Matt Zimmerman <mdz@debian.org> Thu, 3 Oct 2002 16:01:51 -0400

Deswegen ist ja auch der Debian Apache 1.3.26 noch immer sicher, gell ?!

Ich kann zwar nichts für die RPM's sprechen, die Debian-Version aber auf jeden Fall.

Alte SOURCEN dagegen sind sofort zu aktualisieren

Das ist halt einer der Nachteile, wenn man meint, man könnte es besser als sein Paketmanager ... ;)

goge wrote:Liebe Suse Freunde,

Wo?

thomi wrote: Btw., 1.3.26 ist die aktuellste und damit sicherste Apache 1 Version!

Andere sagen etwas anderes:
Apache 1.3.27 is the best available version of the 1.3 series, and is recommended over all previous 1.3 releases.

Jaja, das war ein Irrtum meinerseits und stand da keine 5 Minuten.