[Technik] [SECURITY] [DSA 1576-1] New openssh packages fix predictable randomness

[Michael Hoennig]

Hallo Peter,

> Vielleicht könnte man auch auf einem System schrittweise nebenbei die
> HS-Infrastruktur neu aufbauen (oder zum Teil) und den dann später sicher
> in Betrieb nehmen. Vielleicht ist das aber auch nicht möglich, ich
> kenne die Struktur von HS so gut leider immer noch nicht.

ein Komplett-Neuaufbau würde die Hostmaster (teilweise identisch mit
hsadmin-Entwicklern) zumindest erstmal für Monate in Beschlag nehmen, so
dass nichts anderes mehr passieren könnte. Ist eben alles nur in
Teilzeit.  Praktisch also derzeit nicht wirklich durchführbar. 

Was ganz anderes ist es, dass dies (NACH hsadmin) ein Punkt sein sollte,
den es zu verbessern gilt, uns in die Lage zu versetzen, genau so etwas
wie du vorschlägst, jederzeit ohne großen Aufwand machen zu können.

Das einzige, was ich mir vorstellen könnte: Eine Neuinstallation aller
Binaries, dann aber die Config 1:1 zu übernehmen. Leider ist in der
Config auch Skriptcode enthalten, so dass Lücken offen bleiben. Und falls
eine Dom0 als potentiell verseucht anzusehen ist, müsste das vom RZ aus
gemacht werden. In einer stundenlangen offline-Zeit sowieso.

Eine Lücke, die aber IMMER bleibt: Wenn in einem Paket ein binary
verseucht ist UND es ein lokales Exploit gibt, sind wir machtlos. Aber
wie bei jedem Provider, der Shell-Zugang bietet, ist jedes lokale Exploit
sowieso schon für sich ein großes Problem.

Alles Gute wünscht
	Michael




-- 
       !!! ACHTUNG: geänderte Postanschrift !!!
Vorstand Hostsharing eG: vorstand at hostsharing.net
Hostsharing eG | Glockengießerwall 17 | D-20095 Hamburg
Registergericht Hamburg, GnR 1007 | USt.-ID-Nr.: DE218602793
vertretungsber. Vorstand: Uwe Müller, Peter Niederlag, Michael Hönnig
phone+fax: +49 700 HOSTSHARING (= +49 700 46787427)
http://www.hostsharing.net | http://www.xing.com/go/invuid/Michael_Hoennig