Midnight Commander - Sicherheitspatch

[kalle123]

Gestern kam die Meldung bei heise

https://www.heise.de/news/Dateimanager- ... 80301.html

Heute taucht auch schon die 3:4.8.27-1 bei SID auf. Kann wohl nicht lange dauern, bis die 3:4.8.27-1 nach unten durch gereicht wird ....

Gruß KH

[schwedenmann]

Hallo

Aber das der bug 7 Jahre unentdeckt geblieben ist,ist ja wohl unterirdisch,das nur zum Thema linux opensouzrce und bessere Sicherheit als closedsource,weil ja jeder (incl. Debianmantainer) den Code einsehen kann.


mfg
schwedenmann

[DeletedUserReAsG]

Aber das der bug 7 Jahre unentdeckt geblieben ist,ist ja wohl unterirdisch,das nur zum Thema linux opensouzrce und bessere Sicherheit als closedsource,weil ja jeder (incl. Debianmantainer) den Code einsehen kann.

Kommt eigentlich auch irgendwann mal wieder was anderes, als diese dämliche Polemik in katastrophaler Rechtschreibung, wie’s in der letzten Zeit fast ausschließlich von dir zu lesen ist?

Soll dir jemand die Liste der bekannt gewordenen alten Bugs bei Closed-Source-Software raussuchen? Die unbekannten Bugs bleiben da ja, im Gegensatz zu OSS, schließlich auch solange unbekannt, bis jemand durch Zufall drüber stolpert: in den meisten Fällen also, solange sie existieren. Ich stelle mal die Behauptung in den Raum: auf einen neu entdeckten Bug in OSS kommen siebenundzwanzigkommadrei unentdeckte, kritische und ausnutzbare Bugs in Closed-Software. Beweise nun bitte das Gegenteil! Geht nicht, weil man dazu den Sourcecode brauchen würde? Tja … darum geht’s halt.

Edit: weiter ausgeführt

[schwedenmann]

Hallo

Die unbekannten Bugs bleiben da ja, im Gegensatz zu OSS, schließlich auch solange unbekannt, bis jemand durch Zufall drüber stolpert: also in den meisten Fällen, solange sie existieren.

Was wiederum auch polemisch ist. Tatsache ist nun mal,nur deshalb poste ich den Kommentar,das diese opensource-kann-jeder-reingucken und den bug fi8nden-Aussage kompletter Schwachfug ist,wie man an diesem bug sehr schön sehen kann.Der wurde nämlich erst im Zuge eines audit gefunden,also ncnicht wie die opensourcejünger es imm er behaupten, von Jedem.Wie viele bugs also noch in opensource SW lagern,weil eben keiber den Code gegenliest,bleibt deiner Fantasie überlassen.

mfg
schwedenmann

[DeletedUserReAsG]

Hatte den Beitrag oben noch erweitert, während du schon geantwortet hattest.

Was wiederum auch polemisch ist. Tatsache ist nun mal,nur deshalb poste ich den Kommentar,das diese opensource-kann-jeder-reingucken und den bug fi8nden-Aussage kompletter Schwachfug ist,wie man an diesem bug sehr schön sehen kann.

Kann man sehr schön sehen? Immerhin wurde der Bug ja entdeckt – was bei den siebenundzwangzigkommadrei unentdeckten Bugs in geschlossener Software nicht der Fall ist.

[mcb]

Debian at it' s finest:

Information on source package mc:
https://security-tracker.debian.org/tra ... package/mc

Code: Alles auswählen

Bug	stretch	buster	bullseye	bookworm	sid	Description
CVE-2021-36370	vulnerable	vulnerable (no DSA)	vulnerable (no DSA)	vulnerable	fixed	An issue was discovered in Midnight Commander through 4.8.26. 

Das heißt der Bu bleibt in Bullseye?

[DeletedUserReAsG]

Das heißt der Bu bleibt in Bullseye?

Das heißt, dass der Fix noch nicht zurückportiert worden ist.

[mcb]

Das heißt der Bu bleibt in Bullseye?

Das heißt, dass der Fix noch nicht zurückportiert worden ist.

Ah ok - also sinngemäß 'es dauert' -> ev. ja oder auch nicht?

[schwedenmann]

Hallo

mmerhin wurde der Bug ja entdeckt

Nach sieben Jahren im Zuge eines Audit wohlgemerkt,wenn man closedsource SW einem audit unterziehen würde,käme es auch dazu.Nur ein audit ist doch nicht das,was bei opensource so vehement propagiert wird,nämlich das Jeder den Code lesen und verstehen kann und bugs finden kann,anscheinend hat hier niemanf den Code gelesen oder verstanden,bzw beides.

was bei den siebenundzwangzigkommadrei unentdeckten Bugs in geschlossener Software nicht der Fall ist.

gefühlt,oder woher kommt die Zahl. Dasselbe kann ich von opensource-SW behaupten,solange kein audit durchgeführt wird bleiben die bugs unentdeckt.

mfg
schwedenmann

[DeletedUserReAsG]

Nur ein audit ist doch nicht das,was bei opensource so vehement propagiert wird,nämlich das Jeder den Code lesen und verstehen kann und bugs finden kann,anscheinend hat hier niemanf den Code gelesen oder verstanden,bzw beides.

Ein Audit ist genau das, was bei OSS jederzeit ohne zusätzlichen Aufwand gemacht werden kann. Im Gegensatz zu Closed Source – da gibt es, wenn es denn überhaupt möglich ist, schon sehr spezielle Bedingungen.

Und das „kann“ ist es, was der Vorteil von OSS ist. Keiner hat je behauptet, dass es in jedem Fall gemacht würde. Nur, dass jederzeit die Möglichkeit besteht, es zu machen. Ist das irgendwie auch für dich verständlich? Weil: viel einfacher vermag ich es nicht auszudrücken.

gefühlt,oder woher kommt die Zahl.

Schrieb ich doch: behaupte ich einfach mal. Beweise, dass es nicht stimmt. Kannst du nicht. Darum geht’s doch.

[bluestar]

Aber das der bug 7 Jahre unentdeckt geblieben ist,ist ja wohl unterirdisch,das nur zum Thema linux opensouzrce und bessere Sicherheit als closedsource,weil ja jeder (incl. Debianmantainer) den Code einsehen kann.

Ich stelle dir (@schwedenmann) mal zwei Gegenfragen:
1.) Warum benutzt du dann OSS, wenn deiner Meinung nach die Sicherheit so unterirdisch(Zitat von dir) ist?

2.) Welchen Beitrag leistest du zu OpenSource-Software?

[irgendwas]

Nach sieben Jahren im Zuge eines Audit wohlgemerkt,wenn man closedsource SW einem audit unterziehen würde, käme es auch dazu.

20 Jahre alte Schwachstelle in Windows geschlossen (08/2019)

Keiner weiß wie viele Schwachstellen in Closed-Source noch schlummern. Nur der Hersteller kennt den Code und ich kann keinen beauftragen, den Code zu prüfen. Manchmal verbietet der Hersteller durch die Lizenzbestimmungen das Reverse Engineering - unabhängig davon ob das rechtlich überhaupt bestand hätte. Im Gegensatz dazu hab ich bei Open-Source jederzeit die Möglichkeit jemanden meiner Wahl damit zu beauftragen.

[mcb]

Mich interessiert ob der Bug auch in Bullseye korrigiert wird (Ganz uneigennützig aus Anwendersicht). Wenn nicht meckere ich oder benutze das Programm nicht mehr.

Klar kann man in OpenSource die Fehler einfacher finden, in der Praxis wird wohl nicht sooo viel gesucht?

Tja tue ich was für OpenSource?
Ich gebe mir Mühe - habe aber nicht die Mittel den Bug selbst zu beheben. Mehr als ab und an zu Spenden, Fehler zu melden oder Installationsdateien zu seeden geht nicht. Programmieren werde ich nie richtig verstehen, sorry.

[bluestar]

Mich interessiert ob der Bug auch in Bullseye korrigiert wird (Ganz uneigennützig aus Anwendersicht). Wenn nicht meckere ich oder benutze das Programm nicht mehr.

Generell zu dem Bug sollte man mal ergänzen, das „nur eine Funktion“ von Midnight Commander einen Fehler bei STFP Verbindungen hat und wer diese Funktion nicht benutzt für den besteht aktuell kein Problem.

[mcb]

Mich interessiert ob der Bug auch in Bullseye korrigiert wird (Ganz uneigennützig aus Anwendersicht). Wenn nicht meckere ich oder benutze das Programm nicht mehr.

Generell zu dem Bug sollte man mal ergänzen, das „nur eine Funktion“ von Midnight Commander einen Fehler bei STFP Verbindungen hat und wer diese Funktion nicht benutzt für den besteht aktuell kein Problem.

Ja - ich meckere ja auch nicht wirklich Aber wenn der Bug für zwei Jahre in stable bleiben sollte ... fällt mir dazu auch nichts mehr ein.

[DeletedUserReAsG]

Aber wenn der Bug für zwei Jahre in stable bleiben sollte ... fällt mir dazu auch nichts mehr ein.

Ich würde weiterhin etwas abwarten und beobachten, wenn ich denn das SFTP/VFS-Zeugs nutzen wollte.

Und wenn ich den SFTP/VFS-Kram nicht nutze, etwa, weil ich anstelle von SFTP sowieso direkt SSHFS verwende, was die gleiche oder mehr Funktionalität bei erheblich geringerer Komplexität mit sich bringt, dann würde ich das nicht einmal beobachten.

[mcb]

Aber wenn der Bug für zwei Jahre in stable bleiben sollte ... fällt mir dazu auch nichts mehr ein.

Ich würde weiterhin etwas abwarten und beobachten, wenn ich denn das SFTP/VFS-Zeugs nutzen wollte.

Und wenn ich den SFTP/VFS-Kram nicht nutze, etwa, weil ich anstelle von SFTP sowieso direkt SSHFS verwende, was die gleiche oder mehr Funktionalität bei erheblich geringerer Komplexität mit sich bringt, dann würde ich das nicht einmal beobachten.

Ja - stimmt - nur ich beobachte so etwas schon um nicht irgendwan in die Falle zu tappen. Midnight Commander! Den gab es echt schon vor Urzeiten.

[kalle123]

Heute taucht auch schon die 3:4.8.27-1 bei SID auf. Kann wohl nicht lange dauern, bis die 3:4.8.27-1 nach unten durch gereicht wird ....

Soeben bei Testing/Bookworm hier eingespielt .....

Gruß KH