[FreeBSD] Several FreeBSD-3.3 vulnerabilities (fwd)

Adam Szilveszter sziszi at petra.hos.u-szeged.hu
1999. Dec. 2., Cs, 17:07:20 CET 

Hali!

En is olvastam mar a mukso nehany levelet a kinti listan csak nehany dolgot
nem ertek. Ugyebar a muksokam szinte mindig azon nyavog, hogy amikor valamit
telepit a FreeBSD 3.3-RELEASE CD-jerol, akkor rosszak a premissionok
defaultbol. 

Na most az en gondjaim:

- A mukosokam miert nem hasznalja a legujabb verziot. Ha ennyire fontos a
security, akkor ugyse ussza meg a frissitest, nem lehet a ket CD kozott
csendben ulni a seggen es egy cvsup szerintem meg modemen is elerheto
lehetoseg. Ha meg nincs net kapcsolata, akkor meg a veszely elhanyagolhato,
mert eleg keves atlag melos olvas BUGTRAQ-ot, hogy utana rogton
kiprobalhassa a ceg LAN-jan:-)

- Miert packages-t telepit mindig. Ha zavarjak a foditasi opciok, akkor
hasznalja a portokat. Akkor o dont el mindent. Komoly security igeny eseten
tudnod kell, hogy mit, hova, hogyan, mikor. (Ne rohogjetek, meg olyan is
volt, aki azt mondta, hogy ezek a teljesen third-party progik is az OS
reszei, mert azon a CD-n vannak amin az es a sysinstallbol lehet oket
telepiteni, ezert a mukodesukert a project felelos. Agyam elszall.)

- Miert a BUGTRAQ-ra irogat? Miert nem lattam meg a nevet sose pl
freebsd-ports levlistan, mikor az ilyen kerdesek oda tartoznak? O azt
allitja, hogy irt a security officernek, de a) hiszem, ha akarom, b) es
akkor mi van? Ezek a progik nem a FreeBSD projecthez tartoznak.

Azt bezzeg nem is biztos, hogy mindenki eszlelte, hogy a whois progit ujra
kell forditani, mert a whois.internic.net mar nem szolgalja ki a .com stb
domainek utan kutatokat, hanem a whois.networksolutions.com -ra kell menni.
De mivel  ezt egy PR-ban kuldtek be a patchel egyutt, ezert aki
a freebsd-bugs-ra nincs felirva az errol se fog tudni. Szinte mar varom az
elso "Whois is broken" tipusu kerdeseket... 

Az egesz nem azert huz fel, mert ellenzem a hibak nyilvanossagra hozatalat,
epp ellenkezoleg, hanem mert azok a progik, amiket o emleget, nem is minden
FreeBSD gepen vannak meg (az utolso harombol nalam pl egy se talalt) es ott
se mindenhol ugyanazok a permissionok. Meg azt is valoszinusitem, hogy
legalabbis portbol forditasnal (en nem hasznalom a sysinstallt) a root
umaskja az ami eldonti ezt a kerdest, hacsak nincs feluldefinialva. 
Akkor pedig egyszeru a fix, ugyebar?

Es akinek fontos a security az figyelni fog erre is... De amikor ezt meg
mertem penditeni a BUGTRAQ-on, akkor egyszeruen nem engedte at a
levelemet:-( Igaz lehet, hogy azert, mert az a cim nem volt felirva, na de
itt a kozerdekuseg dont, ha nem tevedek... es akkor emberek, akik csak ilyen
helyeken meg mondjuk a ZDNet-en olvasnak a FreeBSD-rol es egyebkent mondjuk
NT-t hasznalnak, rossz kepet fognak alkotni maguknak a rendszerrol. Van aki
pl ugy valaszt oprencert, hogy megnezi nev szerint, hogy melyik oprencer
hanyszor szerepelt a BUGTRAQ-on... es persze pl Open vagy NetBSD-bol egyet
se talal, nem azert mert ott nem problema a problema, hanem mert nincs aki
rogton beirogasson egy ilyen felkapott forumra...

Na cso, bocs a rantingert, de ezt ki kellett engednem!

Udv:
Sz.
-- 
-------------------------------------------------------------------------------
* Adam Szilveszter * JATE Szeged * email: sziszi at petra.hos.u-szeged.hu *
* Honlap : nincs * alternativ email: cc at flanker.itl.net.ua *
* PGP kulcs: Fingereld a sziszi at petra.hos.u-szeged.hu cimet! *
* FreeBSD: tisztabb, szarazabb, biztonsagosabb erzes...! *

További információk a(z) BSD levelezőlistáról