Midnight Commander - Sicherheitspatch
Midnight Commander - Sicherheitspatch
Gestern kam die Meldung bei heise
https://www.heise.de/news/Dateimanager- ... 80301.html
Heute taucht auch schon die 3:4.8.27-1 bei SID auf. Kann wohl nicht lange dauern, bis die 3:4.8.27-1 nach unten durch gereicht wird ....
Gruß KH
https://www.heise.de/news/Dateimanager- ... 80301.html
Heute taucht auch schon die 3:4.8.27-1 bei SID auf. Kann wohl nicht lange dauern, bis die 3:4.8.27-1 nach unten durch gereicht wird ....
Gruß KH
-
- Beiträge: 5528
- Registriert: 30.12.2004 15:31:07
- Wohnort: Wegberg
Re: Midnight Commander - Sicherheitspatch
Hallo
Aber das der bug 7 Jahre unentdeckt geblieben ist,ist ja wohl unterirdisch,das nur zum Thema linux opensouzrce und bessere Sicherheit als closedsource,weil ja jeder (incl. Debianmantainer) den Code einsehen kann.
mfg
schwedenmann
Aber das der bug 7 Jahre unentdeckt geblieben ist,ist ja wohl unterirdisch,das nur zum Thema linux opensouzrce und bessere Sicherheit als closedsource,weil ja jeder (incl. Debianmantainer) den Code einsehen kann.
mfg
schwedenmann
Re: Midnight Commander - Sicherheitspatch
Kommt eigentlich auch irgendwann mal wieder was anderes, als diese dämliche Polemik in katastrophaler Rechtschreibung, wie’s in der letzten Zeit fast ausschließlich von dir zu lesen ist?schwedenmann hat geschrieben:03.09.2021 09:09:57Aber das der bug 7 Jahre unentdeckt geblieben ist,ist ja wohl unterirdisch,das nur zum Thema linux opensouzrce und bessere Sicherheit als closedsource,weil ja jeder (incl. Debianmantainer) den Code einsehen kann.
Soll dir jemand die Liste der bekannt gewordenen alten Bugs bei Closed-Source-Software raussuchen? Die unbekannten Bugs bleiben da ja, im Gegensatz zu OSS, schließlich auch solange unbekannt, bis jemand durch Zufall drüber stolpert: in den meisten Fällen also, solange sie existieren. Ich stelle mal die Behauptung in den Raum: auf einen neu entdeckten Bug in OSS kommen siebenundzwanzigkommadrei unentdeckte, kritische und ausnutzbare Bugs in Closed-Software. Beweise nun bitte das Gegenteil! Geht nicht, weil man dazu den Sourcecode brauchen würde? Tja … darum geht’s halt.
Edit: weiter ausgeführt
Zuletzt geändert von DeletedUserReAsG am 03.09.2021 09:44:28, insgesamt 2-mal geändert.
-
- Beiträge: 5528
- Registriert: 30.12.2004 15:31:07
- Wohnort: Wegberg
Re: Midnight Commander - Sicherheitspatch
Hallo
mfg
schwedenmann
Was wiederum auch polemisch ist. Tatsache ist nun mal,nur deshalb poste ich den Kommentar,das diese opensource-kann-jeder-reingucken und den bug fi8nden-Aussage kompletter Schwachfug ist,wie man an diesem bug sehr schön sehen kann.Der wurde nämlich erst im Zuge eines audit gefunden,also ncnicht wie die opensourcejünger es imm er behaupten, von Jedem.Wie viele bugs also noch in opensource SW lagern,weil eben keiber den Code gegenliest,bleibt deiner Fantasie überlassen.Die unbekannten Bugs bleiben da ja, im Gegensatz zu OSS, schließlich auch solange unbekannt, bis jemand durch Zufall drüber stolpert: also in den meisten Fällen, solange sie existieren.
mfg
schwedenmann
Re: Midnight Commander - Sicherheitspatch
Hatte den Beitrag oben noch erweitert, während du schon geantwortet hattest.
Kann man sehr schön sehen? Immerhin wurde der Bug ja entdeckt – was bei den siebenundzwangzigkommadrei unentdeckten Bugs in geschlossener Software nicht der Fall ist.schwedenmann hat geschrieben:03.09.2021 09:43:21Was wiederum auch polemisch ist. Tatsache ist nun mal,nur deshalb poste ich den Kommentar,das diese opensource-kann-jeder-reingucken und den bug fi8nden-Aussage kompletter Schwachfug ist,wie man an diesem bug sehr schön sehen kann.
Re: Midnight Commander - Sicherheitspatch
Debian at it' s finest:
Information on source package mc:
https://security-tracker.debian.org/tra ... package/mc
Das heißt der Bu bleibt in Bullseye?
Information on source package mc:
https://security-tracker.debian.org/tra ... package/mc
Code: Alles auswählen
Bug stretch buster bullseye bookworm sid Description
CVE-2021-36370 vulnerable vulnerable (no DSA) vulnerable (no DSA) vulnerable fixed An issue was discovered in Midnight Commander through 4.8.26.
Re: Midnight Commander - Sicherheitspatch
Das heißt, dass der Fix noch nicht zurückportiert worden ist.
-
- Beiträge: 5528
- Registriert: 30.12.2004 15:31:07
- Wohnort: Wegberg
Re: Midnight Commander - Sicherheitspatch
Hallo
mfg
schwedenmann
Nach sieben Jahren im Zuge eines Audit wohlgemerkt,wenn man closedsource SW einem audit unterziehen würde,käme es auch dazu.Nur ein audit ist doch nicht das,was bei opensource so vehement propagiert wird,nämlich das Jeder den Code lesen und verstehen kann und bugs finden kann,anscheinend hat hier niemanf den Code gelesen oder verstanden,bzw beides.mmerhin wurde der Bug ja entdeckt
gefühlt,oder woher kommt die Zahl. Dasselbe kann ich von opensource-SW behaupten,solange kein audit durchgeführt wird bleiben die bugs unentdeckt.was bei den siebenundzwangzigkommadrei unentdeckten Bugs in geschlossener Software nicht der Fall ist.
mfg
schwedenmann
Re: Midnight Commander - Sicherheitspatch
Ein Audit ist genau das, was bei OSS jederzeit ohne zusätzlichen Aufwand gemacht werden kann. Im Gegensatz zu Closed Source – da gibt es, wenn es denn überhaupt möglich ist, schon sehr spezielle Bedingungen.schwedenmann hat geschrieben:03.09.2021 09:53:02Nur ein audit ist doch nicht das,was bei opensource so vehement propagiert wird,nämlich das Jeder den Code lesen und verstehen kann und bugs finden kann,anscheinend hat hier niemanf den Code gelesen oder verstanden,bzw beides.
Und das „kann“ ist es, was der Vorteil von OSS ist. Keiner hat je behauptet, dass es in jedem Fall gemacht würde. Nur, dass jederzeit die Möglichkeit besteht, es zu machen. Ist das irgendwie auch für dich verständlich? Weil: viel einfacher vermag ich es nicht auszudrücken.
Schrieb ich doch: behaupte ich einfach mal. Beweise, dass es nicht stimmt. Kannst du nicht. Darum geht’s doch.gefühlt,oder woher kommt die Zahl.
Re: Midnight Commander - Sicherheitspatch
Ich stelle dir (@schwedenmann) mal zwei Gegenfragen:schwedenmann hat geschrieben:03.09.2021 09:09:57Aber das der bug 7 Jahre unentdeckt geblieben ist,ist ja wohl unterirdisch,das nur zum Thema linux opensouzrce und bessere Sicherheit als closedsource,weil ja jeder (incl. Debianmantainer) den Code einsehen kann.
1.) Warum benutzt du dann OSS, wenn deiner Meinung nach die Sicherheit so unterirdisch(Zitat von dir) ist?
2.) Welchen Beitrag leistest du zu OpenSource-Software?
Re: Midnight Commander - Sicherheitspatch
20 Jahre alte Schwachstelle in Windows geschlossen (08/2019)schwedenmann hat geschrieben:03.09.2021 09:53:02Nach sieben Jahren im Zuge eines Audit wohlgemerkt,wenn man closedsource SW einem audit unterziehen würde, käme es auch dazu.
Keiner weiß wie viele Schwachstellen in Closed-Source noch schlummern. Nur der Hersteller kennt den Code und ich kann keinen beauftragen, den Code zu prüfen. Manchmal verbietet der Hersteller durch die Lizenzbestimmungen das Reverse Engineering - unabhängig davon ob das rechtlich überhaupt bestand hätte. Im Gegensatz dazu hab ich bei Open-Source jederzeit die Möglichkeit jemanden meiner Wahl damit zu beauftragen.
Re: Midnight Commander - Sicherheitspatch
Mich interessiert ob der Bug auch in Bullseye korrigiert wird (Ganz uneigennützig aus Anwendersicht). Wenn nicht meckere ich oder benutze das Programm nicht mehr.
Klar kann man in OpenSource die Fehler einfacher finden, in der Praxis wird wohl nicht sooo viel gesucht?
Tja tue ich was für OpenSource?
Ich gebe mir Mühe - habe aber nicht die Mittel den Bug selbst zu beheben. Mehr als ab und an zu Spenden, Fehler zu melden oder Installationsdateien zu seeden geht nicht. Programmieren werde ich nie richtig verstehen, sorry.
Klar kann man in OpenSource die Fehler einfacher finden, in der Praxis wird wohl nicht sooo viel gesucht?
Tja tue ich was für OpenSource?
Ich gebe mir Mühe - habe aber nicht die Mittel den Bug selbst zu beheben. Mehr als ab und an zu Spenden, Fehler zu melden oder Installationsdateien zu seeden geht nicht. Programmieren werde ich nie richtig verstehen, sorry.
Re: Midnight Commander - Sicherheitspatch
Generell zu dem Bug sollte man mal ergänzen, das „nur eine Funktion“ von Midnight Commander einen Fehler bei STFP Verbindungen hat und wer diese Funktion nicht benutzt für den besteht aktuell kein Problem.mcb hat geschrieben:04.09.2021 20:41:14Mich interessiert ob der Bug auch in Bullseye korrigiert wird (Ganz uneigennützig aus Anwendersicht). Wenn nicht meckere ich oder benutze das Programm nicht mehr.
Re: Midnight Commander - Sicherheitspatch
Ja - ich meckere ja auch nicht wirklich Aber wenn der Bug für zwei Jahre in stable bleiben sollte ... fällt mir dazu auch nichts mehr ein.bluestar hat geschrieben:05.09.2021 11:54:09Generell zu dem Bug sollte man mal ergänzen, das „nur eine Funktion“ von Midnight Commander einen Fehler bei STFP Verbindungen hat und wer diese Funktion nicht benutzt für den besteht aktuell kein Problem.mcb hat geschrieben:04.09.2021 20:41:14Mich interessiert ob der Bug auch in Bullseye korrigiert wird (Ganz uneigennützig aus Anwendersicht). Wenn nicht meckere ich oder benutze das Programm nicht mehr.
Re: Midnight Commander - Sicherheitspatch
Ich würde weiterhin etwas abwarten und beobachten, wenn ich denn das SFTP/VFS-Zeugs nutzen wollte.mcb hat geschrieben:05.09.2021 11:56:32Aber wenn der Bug für zwei Jahre in stable bleiben sollte ... fällt mir dazu auch nichts mehr ein.
Und wenn ich den SFTP/VFS-Kram nicht nutze, etwa, weil ich anstelle von SFTP sowieso direkt SSHFS verwende, was die gleiche oder mehr Funktionalität bei erheblich geringerer Komplexität mit sich bringt, dann würde ich das nicht einmal beobachten.
Re: Midnight Commander - Sicherheitspatch
Ja - stimmt - nur ich beobachte so etwas schon um nicht irgendwan in die Falle zu tappen. Midnight Commander! Den gab es echt schon vor Urzeiten.niemand hat geschrieben:05.09.2021 12:33:21Ich würde weiterhin etwas abwarten und beobachten, wenn ich denn das SFTP/VFS-Zeugs nutzen wollte.mcb hat geschrieben:05.09.2021 11:56:32Aber wenn der Bug für zwei Jahre in stable bleiben sollte ... fällt mir dazu auch nichts mehr ein.
Und wenn ich den SFTP/VFS-Kram nicht nutze, etwa, weil ich anstelle von SFTP sowieso direkt SSHFS verwende, was die gleiche oder mehr Funktionalität bei erheblich geringerer Komplexität mit sich bringt, dann würde ich das nicht einmal beobachten.
Re: Midnight Commander - Sicherheitspatch
Soeben bei Testing/Bookworm hier eingespielt .....kalle123 hat geschrieben:03.09.2021 09:05:41Heute taucht auch schon die 3:4.8.27-1 bei SID auf. Kann wohl nicht lange dauern, bis die 3:4.8.27-1 nach unten durch gereicht wird ....
Gruß KH