Debian sarge mit php 4.3.4 is buggy

Rund um die Sicherheit des Systems und die Applikationen
moemmel
Posts: 6
Joined: 2004-07-22 13:35
Location: Munich

Debian sarge mit php 4.3.4 is buggy

Post by moemmel » 2004-08-26 15:14

hallo,

Jetzt habe ich mal mit nem nessus meinen Server gescannt.
es is so weit alles super gut, bis auf php is in nur der Version 4.3.4 verfügbar .
Kann ich das per hand updaten ??
gehen dann die apt scripten danach noch ??
kommt evtl da bald was neues ??

Sarge is ja noch net als stable freigegeben ..
aber dasses a Sicherheitsloch is find ich schon bedenklich.

gibt ja mittlerweile schon was viel neueres an php4

MFG

dodolin
Posts: 3840
Joined: 2003-01-21 01:59
Location: Sinsheim/Karlsruhe

Re: Debian sarge mit php 4.3.4 is buggy

Post by dodolin » 2004-08-26 15:27

Du solltest zuerst mal Nessus verstehen, bevor du ihm blind vertraust. Dann solltest du dich über deine Distribution und ihre Paket-/Sicherheitspolitik informieren. Hast du verifiziert, dass die PHP Version in sarge Sicherheitslücken hat? Hast du verifiziert, dass diese nicht vielleicht schon längst gepatched wurden?

captaincrunch
Userprojekt
Userprojekt
Posts: 7066
Joined: 2002-10-09 14:30
Location: Dorsten

Re: Debian sarge mit php 4.3.4 is buggy

Post by captaincrunch » 2004-08-26 16:06

Du solltest zuerst mal Nessus verstehen, bevor du ihm blind vertraust.
Nicht nur Nessus, sondern auch das gesamte drumherum (Stichwort Debian-Policy, oder noch genauer: Changelog).
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc

moemmel
Posts: 6
Joined: 2004-07-22 13:35
Location: Munich

Re: Debian sarge mit php 4.3.4 is buggy

Post by moemmel » 2004-08-26 16:57

Hmmm ..

was wollt ihr mir damit jetzt sagen ??

Sicher bin ich nur ein dummer user, der sich von der Aussage im nessus hat beeindrucken lassen.

Ich möchte jetzt sicher keine genaue Erklärung aber wo ist der Ansatz, dass ich das nachprüfen kann und wie man den nessus und dessen aussage näher kennen lernen kann ??

Ein herz für anfänger :roll:

Danke aber auf jeden Fall für die schnelle antwort !!

MFG
sven

dodolin
Posts: 3840
Joined: 2003-01-21 01:59
Location: Sinsheim/Karlsruhe

Re: Debian sarge mit php 4.3.4 is buggy

Post by dodolin » 2004-08-26 17:19

Das Thema hatten wir hier schon x-mal, z.B. im Security, wohin ich das jetzt auch verschiebe.

Will heißen, Nessus ist ein dummer Scanner, der nur anhand von Versionsnummern versucht, auf irgendwelche Lücken in Software hinzuweisen, die diese Version laut seiner Datenbank zu haben scheint.

Er berücksichtigt dabei aber nicht, dass diverse Distributionen ihr Software gegen Sicherheitslücken patchen, ohne dabei die Versionsnummer zu erhöhen.

athlux
Posts: 61
Joined: 2004-08-20 13:53

Re: Debian sarge mit php 4.3.4 is buggy

Post by athlux » 2004-08-26 18:26

http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=259685

Da solltest Du mal öfters vorbeischauen wenn Du sarge nutzt.

moemmel
Posts: 6
Joined: 2004-07-22 13:35
Location: Munich

Re: Debian sarge mit php 4.3.4 is buggy

Post by moemmel » 2004-08-27 00:20

Herzlichen Dank !!
Das werd ich mir mal zu gemüte führen ...

UPS :roll: Sicherheitsrelevante Themen, da hatte ich gar net dran gedacht .... 8O

Bin erst vom etwas verspielten SuSE auf Debian umgestiegen ...

gibt es einen alternativen Scanner, dem man etwas mehr vertrauen kann ??

DANKE Nochmal !!

See ya

captaincrunch
Userprojekt
Userprojekt
Posts: 7066
Joined: 2002-10-09 14:30
Location: Dorsten

Re: Debian sarge mit php 4.3.4 is buggy

Post by captaincrunch » 2004-08-27 10:34

gibt es einen alternativen Scanner, dem man etwas mehr vertrauen kann ??
Nein, du musst halt nur lernen, die Ausgaben richtig zu deuten. Das ist aber auch bei kommerziellen Scannern nicht anders. Ganz nebenbei bemerkt kann man sich streng genommen auf keinen Scanner wirklich verlassen, da auch diese nicht zwingend die neusten Bugs / Exploits intus haben.
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc