Re: OpenSSL advisories

Hallo.

On Fri, Oct 03, 2003 at 08:50:33AM +0200, Daniel Graupner wrote:
> >Ich frag ja nur so nervös, weil ich morgen mein System für diverse
> >Wartungsarbeiten eh runterfahren muß, da würd sich eine neue Welt mit
> >gefixtem OpenSSL gut machen, sonst muß man ja wieder mit dem Port
> >rumkämpfen...
> >
> das wirft bei mir eine Frage auf, was genau ist der Unterschied zwischen
> dem Port und dem "Systeminternen" Openssh/Openssl.

Funktional ersteinmal kaum einer. Im Falle von OpenSSL hat die Version
(mit dem MFC aus von 0.9.7c aus -CURRENT letzte Nacht) mit der Version
aus den Ports gleichgezogen. Im Falle von OpenSSH ist in den Ports
derzeit die aktuellere Version 3.7<irgendwas>, während im Base noch die
3.6<irgendwas> ist, jedoch mit den Fixes zu den letzten Fehlern (der PAM
Fehler betraf diese Version aber zum Beispiel gar nicht).

> Ich spiele mit dem Gedanken die Ports zu installieren, da ein Upgrade
> wesentlich fixer zu realisieren ist (ohne make world), zumal ich auf dem
> Rechner keinen physischen Zugriff habe und für make world ja der
> Single-User-Mode empfohlen wird.

Auch bei Dingen aus dem Basissystem kann man mit einem gewissen Aufwand
ohne einen Neustart des Systems einzelne Teile updaten. Zugegeben ist
diese Methode manchmal etwas aufwändiger, also ein portupgrade.

Die Versionen aus den Ports sind also für Dich interessant, wenn Du zum
Beispiel mit bestimmten Compiletime Options hantieren möchtest oder wenn
Du bei der OpenSSH auf die Features der neuen Version angewiesen bist.
Du kannst dann auch das Bauen dieser Pakete mit dem Basissystem im
Normalfall verhindern (und damit die Installation beim installworld) und
in den Ports angeben, daß Du die Version aus dem Basissystem ersetzen
möchtest.

Es ist also für jeden eine Abschätzung, wie er es persönlich halten
möchte. Ich bevorzuge die Versionen aus dem Basissystem für die meisten
Dinge, weil die manchmal etwas besser getestet und reviewed sind, als
das, was in den Ports landet und weil ich das als zentralen Hort
miteinander auf Lauffähigkeit getesteter Versionen sehe. Zudem müßte ich
sonst explizit Softwarepakete anfangen zu erneuern, wo das im Base
vielleicht mit anderen Updates (schließlich gibt es ja Dinge im Kernel
oder in den Systemlibs!) einfach mitpassiert und wo mir UPDATING oder
mergemaster dann auch noch den Tip geben, daß sich was in der Config
oder im Verhalten wesentlich geändert hat. Es ist mühselig, das für
sendmail (OK, benutz ich nicht), für bind (da bin ich mittlerweile
ghezwungen auf bind9 aus den Ports umzusteigen), für OpenSSH und OpenSSL
(da kann ich derzeit noch aufs base zurückgreifen) und vermutlich noch
ein paar andere Dinge einzeln zu verfolgen. Aber das ist vielleicht
persönlicher Geschmack, was einem da mehr entgegenkommt.

Zum Thema singleuser und physischer Zugriff: Ich habe auch einen Rechner
im Rechenzentrum stehen. Dort habe ich die Möglichkeit über einen
anderen Rechner im gleichen Schrank auf die serielle Konsole
zuzugreifen. Damit ist der Singleusermode und selbst das Auswählen eines
älteren Kernels bei Problemen mit dem Neuen kein Problem. Ich kann nur
empfehlen zu schauen, ob Du diese Möglichkeit nicht auch bekommen
kannst.

> Auch die unterschhiedlichen Versionsnummern sind mir schleierhaft 8-)

Da kann ich Dir keine Erklärung geben, ich weiß nicht, was an der
Versionierung schleierhaft sein sollte?!

- Olli

-- 
| Oliver Brandmueller | Offenbacher Str. 1  | Germany       D-14197 Berlin |
| Fon +49-172-3130856 | Fax +49-172-3145027 | WWW:   http://the.addict.de/ |
|               Ich bin das Internet. Sowahr ich Gott helfe.               |
| Eine gewerbliche Nutzung aller enthaltenen Adressen ist nicht gestattet! |
To Unsubscribe: send mail to majordomo.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message