Wieder openssh

[Bernhard Sadlowski]

On 01 Aug 2002 18:39, Cord Beermann <cord at lug-owl.de> wrote:
> das Ding ist wohl erst gestern abend ausgetauscht worden... zumindest der
> mirror eines bekannten hat erst diese Nacht das update gemacht.

Ok. Gut daß ich diese Nacht nicht kompiliert habe. ;-) Betroffen sind ja
auch gleich mehrere openssh Versionen laut einem posting auf bugtraq:
3.4p1, 3.4 und 3.2.2p1.
 
> dieser Trojaner ist ja ein compile-Time ding. Das resultierende Binary
> (welches dann im *.deb auftaucht) waere sauber.
>
> Bei Debian muesst zusaetzlich zum Austausch des *.deb auch noch die
> Packages-Datei 'angepasst' werden. in dieser ist eine MD5sum.

Zumindest bei diesem Trojaner... Aber wenn schon das Makefile verändert
wurde, kann beliebig viel geändert werden, auch ein .c das ein anderes
Binary liefert. Am besten ist wohl, wenn der Maintainer das Package
direkt vom Entwickler bekommt ohne Umwege über ein Archiv und mit
PGP/GPG signiert. Vielleicht geschieht das ja bereits.
 
> (wenn natuerlich jemand einen Spiegel oder den Master aufmacht, ist er
> vermutlich auch in der Lage genau das zu machen.)

Das ist ja bei dem so sicheren OpenBsd Archiv offenbar auch passiert.
Wäre es dann nicht sinnvoll die checksums nicht nur im *.deb sondern
auch zusätzlich auf einem separaten Server abzulegen? Falls ein Server
gehackt wird (man muss ja flo nichts böses unterstellen), dann hat
apt-get mehr Chancen den Austausch zu erkennen. Wenn beide Server
gleichzeitig gehackt werden, dann kann man nur beten...

Gleiches Problem kann es aber auch mit den SuSE oder Redhat
Updateservern geben. Wer die hackt, kann einiges anrichten. Ich bin
jedenfalls mit Debian sehr zufrieden, setze es selbst ein und will daß
es noch besser wird. Wir haben hier in der Firma noch einige SuSE/Redhat
Rechner stehen, die besser auf Debian laufen sollten. :) 

Gruss,
Bernhard