Patch geg. Apache Killer für <Suse10.4

Rund um die Sicherheit des Systems und die Applikationen
amiga1200
Posts: 208
Joined: 2007-01-13 19:58

Patch geg. Apache Killer für <Suse10.4

Post by amiga1200 » 2011-09-12 10:23

Ich habe eben 30Min. nach einen Patch für
den Apache-Killer im Netz gesucht, aber nichts gefunden.
(http://www.heise.de/security/meldung/To ... 29986.html)

Gibt es für <Suse 10.4 noch kein Patch für den Apache-Killer

wenn doch, woher bekommen man ihn, und wie installiert man den?
Wenn ich unter Yast nach Update suche, findet Yast nichts.

User avatar
daemotron
Administrator
Administrator
Posts: 2635
Joined: 2004-01-21 17:44

Re: Patch geg. Apache Killer für <Suse10.4

Post by daemotron » 2011-09-12 11:08

OpenSuse 10.4 gab es meines Wissens nach nie; 10.3 war das letzte Release der 10er Serie. Unterstützt werden derzeit nur noch 11.3 und 11.4 (siehe http://en.opensuse.org/Lifetime); für ältere Versionen wird es also keinen Patch geben.
“Some humans would do anything to see if it was possible to do it. If you put a large switch in some cave somewhere, with a sign on it saying 'End-of-the-World Switch. PLEASE DO NOT TOUCH', the paint wouldn't even have time to dry.” — Terry Pratchett, Thief of Time

amiga1200
Posts: 208
Joined: 2007-01-13 19:58

Re: Patch geg. Apache Killer für <Suse10.4

Post by amiga1200 » 2011-09-12 11:39

Ich meine Suse 11.X

und was machen nun alle <11.3 Server?
Neu installieren?

User avatar
rudelgurke
Posts: 405
Joined: 2008-03-12 05:36

Re: Patch geg. Apache Killer für <Suse10.4

Post by rudelgurke » 2011-09-12 11:49

Gibt einen Workaround für ältere Versionen, allerdings sollte man sich überlegen ob man damit leben kann Sicherheitslöcher mit Workarounds zu stopfen.

papabaer
Userprojekt
Userprojekt
Posts: 170
Joined: 2009-05-14 17:40
Location: Halle (Saale)

Re: Patch geg. Apache Killer für <Suse10.4

Post by papabaer » 2011-09-12 12:10

amiga1200 wrote:und was machen nun alle <11.3 Server?
Neu installieren?


Nicht mehr supported heißt, es gibt keine Updates mehr. Für nix. Für gar keine Sicherheitslücke. Da regelmäßig Sicherheitslücken auftreten ist GENAU DAS der Grund, warum man NIE eine Distri auf seinem Server fährt, die nicht mehr supported wird.

Wer also heute noch mit einem <11.3 rumfährt, macht schon lange was ziemlich falsch.

ddm3ve
Moderator
Moderator
Posts: 1187
Joined: 2011-07-04 10:56

Re: Patch geg. Apache Killer für <Suse10.4

Post by ddm3ve » 2011-09-12 13:30

papabaer wrote:Wer also heute noch mit einem <11.3 rumfährt, macht schon lange was ziemlich falsch.


Jetzt pack mal die Steine wieder ein mit denen Du wirfst.
http://en.opensuse.org/openSUSE:Evergreen

Spätestens mit 11.1 gibt es dann doch nen Trick Opensuse auch nach dem Ende der Lifetime noch aktuell zu halten.

Ich denke, der Threadersteller hat es verstanden, dass er sein System aktuell halten muss und 11.3 ist wohl noch supportet bis Januar 2012.
Also kein Grund für Panik und unnötiges anmosern.


Ich komm nicht umhin rein vorsorglich die Randbemerkung fallen zu lassen:
Wenn Ihr euere schlechte Laune an Mitgliedern auslassen wollt, dann bitte woanders. Daemotrons und rudelgurkes Kommentare waren ausreichend und zielführend!
Last edited by ddm3ve on 2011-09-12 13:31, edited 1 time in total.
02:32:12 21.12.2012 und dann sind Deine Probleme alle unwichtig.

User avatar
daemotron
Administrator
Administrator
Posts: 2635
Joined: 2004-01-21 17:44

Re: Patch geg. Apache Killer für <Suse10.4

Post by daemotron » 2011-09-12 14:25

<OT>Hast Du Erfahrungen mit Evergreen? Ich bin auch schon drüber gestolpert, weiß aber nicht, wie ich das einschätzen soll. Die Lebenszyklen von OpenSUSE sind ja ansonsten eher kurz (verglichen mit Ubuntu LTS oder CentOS), da wäre so eine lebensverlängernde Maßnahme schon attraktiv.</OT>

P. S. habe mir eben mal die Packages von OpenSUSE angeschaut. Auch das 11.4er Apache Package enthält den Fix aus dem 2.2.20er Release noch nicht.
Last edited by daemotron on 2011-09-12 14:51, edited 1 time in total.
“Some humans would do anything to see if it was possible to do it. If you put a large switch in some cave somewhere, with a sign on it saying 'End-of-the-World Switch. PLEASE DO NOT TOUCH', the paint wouldn't even have time to dry.” — Terry Pratchett, Thief of Time

ddm3ve
Moderator
Moderator
Posts: 1187
Joined: 2011-07-04 10:56

Re: Patch geg. Apache Killer für <Suse10.4

Post by ddm3ve » 2011-09-12 14:56

Ja, es gibt aktuell keinen Patch dafür.

Evergreen habe ich auf einer Testumgebung aktiviert und installiert.
Für opensuse 11.1 scheint das aktuell auch i.O. zu laufen. Sehe aber, wie bei den übrigen updates auch, das Problem bzw. die Gefahr, dass hier Pakete aktualisiert werden die Änderungen in der Konfiguration nach sich ziehen.
Also ggf. auch Minor Release Updates statt finden. Das kann einem Admin ggf. nicht in den Kram passen.

Für den prod. Einsatz würde ich das noch nicht nutzen wollen. Aber bis dahin prüfe ich es noch. Wenn es sich etabliert hat und die Releaseverwaltung durchdacht und sauber ist, dann wird ggf. auch auf prod. eingesetzt.
Aktuell werden aber definitiv noch zu wenige Pakete unterstützt.
Last edited by ddm3ve on 2011-09-12 15:00, edited 1 time in total.
02:32:12 21.12.2012 und dann sind Deine Probleme alle unwichtig.

ddm3ve
Moderator
Moderator
Posts: 1187
Joined: 2011-07-04 10:56

Re: Patch geg. Apache Killer für <Suse10.4

Post by ddm3ve » 2011-11-15 13:46

Gute 2 Monate später.

Die Pakete mehren sich, und wenn es so weiter geht, kann man Evergreen durchaus einsetzen.
Die wesentlichsten Bugs und Securityfixes wurden zeitnah behoben und aktualisiert.

Es sind nur noch nicht alle Pakete angekommen.
Ich vermisse derzeit z.B. mysql-server sowie lighttpd und den Kernel selbst.
02:32:12 21.12.2012 und dann sind Deine Probleme alle unwichtig.

User avatar
Joe User
Project Manager
Project Manager
Posts: 11139
Joined: 2003-02-27 01:00
Location: Hamburg

Re: Patch geg. Apache Killer für <Suse10.4

Post by Joe User » 2011-11-15 14:10

Interessanter dürfte wohl http://en.opensuse.org/Portal:Tumbleweed sein.
PayPal.Me/JoeUserFreeBSD Remote Installation
Wings for LifeWings for Life World Run

„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.

ddm3ve
Moderator
Moderator
Posts: 1187
Joined: 2011-07-04 10:56

Re: Patch geg. Apache Killer für <Suse10.4

Post by ddm3ve » 2011-11-15 14:22

Jaein,

wenn man noch ältere Produkte betreibt welche z.B. eine Mysql 5.0 vorraussetzen, dann ist ein rollendes Upgrade problematisch.

Wenn ich ohnehin vor habe, upgrades durch u führen, ist tumbleweed das richtige Produkt. Bin ich genötigt auf einem Release stand zu bleiben, ist Evergreen die richtige Wahl.
02:32:12 21.12.2012 und dann sind Deine Probleme alle unwichtig.