Debian sarge mit php 4.3.4 is buggy

[moemmel]

hallo,

Jetzt habe ich mal mit nem nessus meinen Server gescannt.
es is so weit alles super gut, bis auf php is in nur der Version 4.3.4 verfügbar .
Kann ich das per hand updaten ??
gehen dann die apt scripten danach noch ??
kommt evtl da bald was neues ??

Sarge is ja noch net als stable freigegeben ..
aber dasses a Sicherheitsloch is find ich schon bedenklich.

gibt ja mittlerweile schon was viel neueres an php4

MFG

[dodolin]

Du solltest zuerst mal Nessus verstehen, bevor du ihm blind vertraust. Dann solltest du dich über deine Distribution und ihre Paket-/Sicherheitspolitik informieren. Hast du verifiziert, dass die PHP Version in sarge Sicherheitslücken hat? Hast du verifiziert, dass diese nicht vielleicht schon längst gepatched wurden?

[captaincrunch]

Du solltest zuerst mal Nessus verstehen, bevor du ihm blind vertraust.

Nicht nur Nessus, sondern auch das gesamte drumherum (Stichwort Debian-Policy, oder noch genauer: Changelog).

[moemmel]

Hmmm ..

was wollt ihr mir damit jetzt sagen ??

Sicher bin ich nur ein dummer user, der sich von der Aussage im nessus hat beeindrucken lassen.

Ich möchte jetzt sicher keine genaue Erklärung aber wo ist der Ansatz, dass ich das nachprüfen kann und wie man den nessus und dessen aussage näher kennen lernen kann ??

Ein herz für anfänger :roll:

Danke aber auf jeden Fall für die schnelle antwort !!

MFG
sven

[dodolin]

Das Thema hatten wir hier schon x-mal, z.B. im Security, wohin ich das jetzt auch verschiebe.

Will heißen, Nessus ist ein dummer Scanner, der nur anhand von Versionsnummern versucht, auf irgendwelche Lücken in Software hinzuweisen, die diese Version laut seiner Datenbank zu haben scheint.

Er berücksichtigt dabei aber nicht, dass diverse Distributionen ihr Software gegen Sicherheitslücken patchen, ohne dabei die Versionsnummer zu erhöhen.

[athlux]

http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=259685

Da solltest Du mal öfters vorbeischauen wenn Du sarge nutzt.

[moemmel]

Herzlichen Dank !!
Das werd ich mir mal zu gemüte führen ...

UPS :roll: Sicherheitsrelevante Themen, da hatte ich gar net dran gedacht .... 8O

Bin erst vom etwas verspielten SuSE auf Debian umgestiegen ...

gibt es einen alternativen Scanner, dem man etwas mehr vertrauen kann ??

DANKE Nochmal !!

See ya

[captaincrunch]

gibt es einen alternativen Scanner, dem man etwas mehr vertrauen kann ??

Nein, du musst halt nur lernen, die Ausgaben richtig zu deuten. Das ist aber auch bei kommerziellen Scannern nicht anders. Ganz nebenbei bemerkt kann man sich streng genommen auf keinen Scanner wirklich verlassen, da auch diese nicht zwingend die neusten Bugs / Exploits intus haben.