[Berlin-wireless] WICHTIG/IMPORTANT - freifunk-batman: Sicherheitslücke/security problem

Stefan Sperling stsp
Fr Nov 16 16:53:58 CET 2007 

On Fri, Nov 16, 2007 at 04:09:15PM +0100, Jo-Philipp Wich wrote:
> >> Wenn hier ein funktionstüchtiger Exploit gepostet wird kommen auch
> >> bloß wieder Leute angekrochen und beschweren sich genau darüber!

Diese Leute wiegen sich in falscher Sicherheit, da sie anscheinend
denken dass Exploits nur entstehen indem sie zusammen mit einem Fix 
auf die Projektmailingliste gepostet werden.

> Es geht nicht um Security by Obscurity, es geht darum das die
> Exploit-Infos _nachgereicht_ werden.

Warum werden Informationen zur Lücke nur "nachgereicht"?

Ich vermute folgendes Argument:

  "Wenn wir jetzt allen sagen was die Lücke ist kann es passieren
  dass jemand die Lücke ausnutzt bevor alle Leute ihre WRTs
  gepatched haben."

Fällt dir ein anderes mögliches Argument ein?

Das Argument beruht auf der Annahme, dass niemand ausser dem
Kreis der Leute, die die Lücke schon kennen, in der Lage ist,
die Lücke selbstständig herauszufinden.

Diese Annahme ist falsch, wie du selbst erläuterst:

> Außerdem ist das Paket quelloffen,
> pack es aus und mach ein Diff gegen die vorige Version.

Was macht es bitte für Unterschied, ob das diff für den Fix auf
der mailing liste landet (vorzüglicher Weise mit mündlicher
Beschreibung des Problems) oder nicht, wenn sich das diff aus
den sourcen der ipkg's holen lässt?

Oder gar ein funktionierender Exploit? Er könnte z.B. sehr trivial
sein und allen Betroffenen illustieren wie ernst die Lücke ist.

Warum macht man es nicht allen Betroffenen so einfach wie möglich
an alle Information bezüglich der Lücke heran zu kommen?

Nettes Zitat:
"Many vendors, even of free software, still try to hide issues
from their users."
http://openbsd.org/security.html

Das ist der Punkt hier: Benutzer!

Jeder Benutzer der Freifunk Firmware hat Anspruch darauf zu wissen
welches Fehlverhalten die Kiste FÜR DEREN VERHALTEN ER/SIE
VERANTWORTLICH IST unter welchen Bedingungen haben kann.

"Hier ist ein binary-only fix, patched mal, wir sagen euch
aber noch nicht was das Problem ist" ist entmündigend und
eine verantwortungslose Haltung für Maintainer einer Software
die viele Leute nutzen.

Bin ich froh dass die Freifunk Firmware schon lange nicht
mehr direkt an meinem lokalen Netz hängt ohne firewall
dazwischen, und alles was ich durch Freifunk Firmware schicke
VPN Pakete sind. Aber so viel Glück haben in diesem Fall
sicher nicht alle hier...

-- 
stefan
http://stsp.name                                         PGP Key: 0xF59D25F0
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : nicht verfügbar
Dateityp    : application/pgp-signature
Dateigröße  : 187 bytes
Beschreibung: nicht verfügbar
URL         : <http://lists.berlin.freifunk.net/pipermail/berlin/attachments/20071116/8d9cd521/attachment.pgp>

Mehr Informationen über die Mailingliste Berlin