19. November 2012 01:08

Re: Vielen Dank

nerventanz schrieb am 18. November 2012 11:39

> > Auf *welcher* Mailingliste? Empoerte Mails kenne ich nur von misc@,
> > und das lesen nur noch wenige Leute.

> 1) Haben die überhaupt noch eine andere?

Ja. Z.B. tech@ und bugs@.

> 2) Manche Leute posten die ganzen Unterhaltungen auch separat und
> kommentieren das dann

Ich verstehe kein Stueck, was Du meinst. Was fuer "Unterhaltungen",
was ist mit "separat" gemeint?
.
> Wie gesagt, das passierte nicht nur einmal. Sowas macht skeptisch.

Ja. Mich macht es etwas skeptisch, dass Du schreibst, dass bei
OpenBSD angeblich "mehrfach Sicherheitsprobleme verschweigt" (und ich
hoffe, Dir ist klar, dass das ein extrem schwerer Vorwurf ist), dann
aber irgendwie keine konkreten Beispiele bringen kannst.

> > Wurde es denn gefixed?

> Ja. Habe später irgendwann im Repo nachgeschaut, als eine Zeit lang
> gar nichts mehr gekommen ist.

Aeh? Es ist nichts mehr gekommen, aber es wurde gefixed? Verstehe ich
nicht.

> > Auf welcher Mailingliste hast Du den Bug gemeldet?

> Das ist schon sehr lange her. Solche alten E-Mails habe ich irgendwo
> wegarchiviert.

Wenn Du hier Vorwuerfe wie "OpenBSD verschweigt Sicherheitsluecken"
verbreitest, und als Beleg irgendwelche eigenen Bugreports erwaehnst,
dann solltest Du auch irgendwas in der Hand haben, um Deine Vorwuerfe
zu belegen. (Und: nein, Mails an misc@ werde ich nicht als Beleg
akzeptieren).

> Ob mein Name auftaucht ist mir Wurscht. Was man jedoch gerne hätte
> ist eine Benachrichtigung: "ich habe die Ursache gefunden und den
> Fehler behoben".

Vielleicht wurde der Fehler ja einach so behoben, weil jemand anderes
drauf gestossen ist. Ist schwer zu berurteilen, weil Du ja nicht
sagst, um welchen Fehler, welche Mail, auf weilcher Mailingliste es
sich handelt.

> Viele Leute fragen auch ob sie Credits einfügen
> sollten (bei FreeBSD.org tun sie das).

Credits einfuegen heisst auf Deutsch genau was? Ich verstehe nicht,
was Du meinst.

> > Fixen die die Bugs denn besser und schneller?

> Nein. Genauso schnell, wenn sie so offensichtlich sind. Aber
> wenigstens kriegt man eine Meldung darüber nachdem es erledigt worden
> ist.

Bei OpenBSD ebenso. Wenn nicht per Mail, dann per plus.html  (gut,
das wir mal mehr, mal weniger aktuell gepflegt) oder cvs-changes@ 
Und fuer die offiziellen Releases natuerlich in den Release-Notes.

> > Und,  um noch mal zur urpsruenglichen Frage zu kommen: wo wurden vom
> > OpenBSD-Projekt den Entwicklern bekannte Sicherheitsluecken
> > absichtlich verschwiegen?

> http://www.coresecurity.com/content/open-bsd-advisorie

Da wurden *keine* Sicherheitsluecken absichtlich verschwiegen (was ja
Dein ziemlich uebler Vorwurf war). Wurde ein paar Postings vorher
auch schon von jemand anderem erwaehnt:


http://www.heise.de/security/news/foren/S-Re-Vielen-Dank/forum-242838/msg-22732878/read/


> Sie behaupten (2007-02-28), dass man da keinen Code einschleusen
> kann. Daraufhin wird (2007-03-05) ihnen PoC-Exploit präsentiert.

Nein. 2007-03-05: OpenBSD team notified of PoC availability.

Da wurde kein PoC praesentiert, sondern nur gesagt, dass es einen
gaebe. Leider steht da nicht, wann sie den an (wen auch immer)
OpenBSD geschickt haben. muss aber wohl kurz danach gewesen sein.

> Dann guck Dir mal an, wie sie nach dem PoC für einen remote Exploit
> das Zeug zuerst als "Reliability Fix" einstufen (2007-03-07).

Zu dem Zeitpunkt war das der Stand der Kenntnis (auf OpenBSD-Seite).
Core hat da lediglich gesagt, dass sie einen PoC haben.

> Und dann Stück für Stück, weil die Leute hartnäckig bleiben, am Ende
> als "Security Fix" bezeichnen (2007-03-09).

Das ist jetzt Deine Interpretation. Fuer andere Interpretationen:
siehe oben.

> Ist das seriös? Nein. Das ist offensichtlich ein Versuch die Credits
> abzuwerten

Diesen Satz verstehe ich nicht. Was fuer "Credits" werden von wem
abzuwerten versucht?

Anzeige