[Berlin-wireless] WICHTIG/IMPORTANT - freifunk-batman: Sicherheitslücke/security problem

Stefan Sperling stsp
Sa Nov 17 19:14:36 CET 2007 

On Sat, Nov 17, 2007 at 11:29:24AM +0100, Sven-Ola Tücke wrote:
> He hallo,

Hi,

> das war'n _Scherz_.

Mein Ironiedetektor hatte keinen Akku mehr, sorry :)

Ich fand im nachhinein auch dass ich ein wenig harsch klang,
sorry, war ein freitag nach einer anstrengenden woche, ich
hätte einmal drüber schlafen sollen dann wäre mein Ton bestimmt
angenehmer gewesen.

Mmmh.. also, ich bin mit dem Ergebnis des Threads soweit ganz
zufrieden, vor allem tetzlav's Bemerkung bzgl. Sicherheitslücke
vs. backdoor war nett. Sicherheitslücken passieren halt, sind
im Regelfall natürlich nicht beabsichtigt, es wirft keiner den
Entwicklern was vor... die Frage ist einfach, wie man damit umgeht.

Mir gings nun darum, dass ich finde das Lui und du und wer auch
immer noch die ff-firmware maintained nicht gut damit umgehen.
Das habe ich ja schon deutlich erklärt.

Wobei mir eines leider immer noch nicht klar geworden ist,
selbst nachdem ich alle mails in diesem thread die in meiner
inbox sind gelesen habe:

        ---------------------------------
	Was ist denn die Sicherheitslücke?
        ---------------------------------

Dein "fix", batman einfach auszumachen, ist keine Erklärung.

Ich habe code im batman und commit access.
Trotzdem sagt mir keiner was los ist!!!
Die Lücke könnte in meinem code sein, was weiss ich,
allerdings habe den noch unvollständigen BSD support gemacht,
das läuft nicht auf den WRTs, ist also nicht sehr wahrscheinlich.

Und den Anwendern der ff-firmware sagt auch keiner was
eigentlich genau los ist.

Finde ich alles nicht gut (aus Prinzip), und bei einem Projekt
wie Freifunk das auf Selbständigkeit und Eigeninitiative
aufbaut finde ich das nicht nur "nicht gut" sondern absolut
schädlich für das Projekt an sich.

Schade.

Marek, Elektra, Axel, Andreas (alles batman entwickler), Sven-Ola,
Lui, ...  mindestens zwei von euch oder ihr alle müsstet wissen was
die Sicherheitslücke ist. Will sich keiner von euch äussern?

Ich hoffe wir sind bald alle im Bilde.

Marek, ich habe keine Lust mehr auf das Projekt wenn mit
Sicherheitslücken so umgegangen wird, wenn ihr euch also entscheidet
die Lücke nicht bald (sagen wir, innerhalb der nächsten Woche) öffentlich
zu machen, kannst du bitte meinen ssh pubkey vom server löschen?
Ich würde dann sowieso nie mehr was committen.

Danke,
-- 
stefan
http://stsp.name                                         PGP Key: 0xF59D25F0
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : nicht verfügbar
Dateityp    : application/pgp-signature
Dateigröße  : 187 bytes
Beschreibung: nicht verfügbar
URL         : <http://lists.berlin.freifunk.net/pipermail/berlin/attachments/20071117/9e60cbc9/attachment.pgp>

Mehr Informationen über die Mailingliste Berlin