Re: keine updates/patches für lokale DoS-Lücken?

From: Harald Muehlboeck <home(at)clef.at>
Date: Wed, 04 Apr 2007 09:22:08 +0200



"World of Replica" <wor(at)hispeed.ch> writes:



> ich habe letztens gelesen, dass das freebsd-team keine patches für lokale


> DoS lücken rausbringt. entspricht das der wahrheit? 



Richtig ist, dass Angriffsmöglichkeiten, die nur wissentlich durch


einen am System angemeldeten Benutzer ausgenutzt werden können und


nicht mehr Schaden anrichten können, als das System lahm zu legen,


nicht als »Security Flaw« sondern als »Errata« gelten.



Meist werden Patches nur für Current, Stable, sowie für das letzte


Release (Security and Errata Fix Branch) herausgebracht -- nicht


jedoch für ältere Releases, die nur noch mit Sicherheitsupdates (gegen


Remote Exploit, Remote DoS, Privilege Elevation, ...) versorgt werden.



siehe:


<http://www.bsdcan.org/2006/papers/SecurityFlaw-CodingByContract.pdf>


und


<http://www.bsdcan.org/2006/papers/SecurityFlaw-CodingByContract-Slides.pdf>



-- 
http://www.clef.at/yagpmfaq/ - Yet Another German Pegasus Mail FAQ
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message


Received on Wed 04 Apr 2007 - 09:20:07 CEST













search this site