News Kritischer OpenSSL-Fehler: Fedora 37 erscheint erst am 15. November

SVΞN

Redakteur a.D.
Registriert
Juni 2007
Beiträge
22.987
  • Gefällt mir
Reaktionen: Termy, LouisXIV, Spike Py und 5 andere
Eine sehr gute Entscheidung bei Fedora und Redhat. Es gibt Hersteller die einfach raus und dann Patchen sie.
 
  • Gefällt mir
Reaktionen: Kampfmoehre
Eine gute Entscheidung!
Gibt es schon positive Nachrichten bezüglich der vaapi Geschichte?
 
  • Gefällt mir
Reaktionen: Kampfmoehre
Schade, hatte fürs verlängerte WE geplant mein System komplett neu aufzusetzen. Aktuell noch auf Fedora 35. Aber natürlich richtige Entscheidung
 
  • Gefällt mir
Reaktionen: Spike Py
Fedora hat über die Mailingliste den Patch schon bekommen, ist aber noch nicht in den öffentlichen Repositories von OpenSSL.


Grundsätzlich wäre es besser, wenn Fedora wie Debian (oder auch Archlinux) regelmässig neue Images mit aktualisierten Paketen ausliefern würde. Fast alle Pakete enthalten Fehler und es wird Updates im Laufe des Unterstützungszeitraums dafür Fixes geben. Ein Teil könnte man umgehen, wenn man im Installer direkt Updates vom Server zieht (früher gabe dafür eine direkte Option im Installer). Das ist aber umständlich, langsam und führt zu einer Abhängigkeit vom Internet. Was bei entsprechenden Fehlern (etwa hier in OpenSSL) und kritischen System (darf temporär oder nie ins Internet) nicht vertretbar ist.

Der Untestützungszeitrum von Fedora ist natürlich kürzer, aber das verringert nur die zugrund liegenden Probleme.


PS: Ein schlimmer Fall war Windows XP, bis auf das SP1 gab es nie eine offizielle Option eine aktuelles Images zu bekommen. Im Verbund mit dem schlechten Updatemechanismus von Windows ist es bis heute ein Problem mit Windows 11. Und nach unzähligen Reboots findet es plötzlich nochmal Updates und dann wieder Updates, obwohl vorher keine angezeigt wurden.
 
Zuletzt bearbeitet:
Besser als wie bei Games, ein Day-One-Patch beim Release!

Nebenbei: Die sollten mal den Rawhide in Fedora mal bisschen aufräumen, da sind schon einige veraltete Pakete (10 Jahre kein Update und schon längst keine Pakete mehr eine Abhängigkeit auf diese haben) und sogar offiziele Nachfolger auch auch im Rawhide verfügbar sind, aber die aktiven Maintainer der alten Pakete schaffen es dann nicht diese als 'Retired' zu setzen. Aber trotzdem muss dann jedes Paket die automatisches Build-Test durchlaufen für jede Fedora-Version und wenn irgendwelche große Abhängigkeiten geändert werden, müssen auch die Alten im 'Build' gepflegt werden wenn es die Änderung betrifft, obwohl diese schon eingestellt sind und wie gesagt ein offizieller Nachfolger exisitiert.
 
Wie sieht es den mit Vc1, h.264,h.265 Hardware dekodierung ? Die sollte doch entfernt werden?

https://www.phoronix.com/news/Fedora-Disable-Bad-VA-API

Ich kenne mich mit Fedora noch nicht aus, gebe es da zur Not eine etwas wie man es wieder aktivieren kann? Oder ist die Meldung wieder passe?!
 
Northstar2710 schrieb:
Ich kenne mich mit Fedora noch nicht aus, gebe es da zur Not eine etwas wie man es wieder aktivieren kann?
GloriousEggroll hat schon seit langer Zeit ein COPR (ähnlich AUR) in dem er aktuellere Mesa Versionen anbietet, gehe mal stark davon aus er wird die dort wieder aktivieren.
 
Fegr8 schrieb:
Besser als wie bei Games, ein Day-One-Patch beim Release!

Nebenbei: Die sollten mal den Rawhide in Fedora mal bisschen aufräumen, da sind schon einige veraltete Pakete (10 Jahre kein Update und schon längst keine Pakete mehr eine Abhängigkeit auf diese haben) und sogar offiziele Nachfolger auch auch im Rawhide verfügbar sind, aber die aktiven Maintainer der alten Pakete schaffen es dann nicht diese als 'Retired' zu setzen. Aber trotzdem muss dann jedes Paket die automatisches Build-Test durchlaufen für jede Fedora-Version und wenn irgendwelche große Abhängigkeiten geändert werden, müssen auch die Alten im 'Build' gepflegt werden wenn es die Änderung betrifft, obwohl diese schon eingestellt sind und wie gesagt ein offizieller Nachfolger exisitiert.
Gibt es eigentlich eine Distribution, die Fedora rawhide und OpenSUSE Tumbleweed in der Aktualität und dem Umfang von Kernel und der angebotenen Pakete ähnelt, proprietäre Treiber/Codecs anbietet, einen package manager mitbringt, der sich mit intuitiven Kommandos steuern lässt wie dnf und zypper und eben nicht wie pacman und dazu nicht die hier beschriebenen Probleme aufweist?
 
Viel problematischer - und das hat jetzt nix mit Fedora zu tun - ist die OpenSSL-Lücke als Solches. Leider erfährt man keine Details. Von OpenSSL-Seite heißt es nur lapidar, das am Dienstag ne abgesicherte Version (3.0.7) erscheint. Ob man jetzt selbst akkut gefährdet ist und was mögliche Workarounds etc. angeht tappt man komplett im Dunkeln.
 
andy_m4 schrieb:
Leider erfährt man keine Details. Von OpenSSL-Seite heißt es nur lapidar, das am Dienstag ne abgesicherte Version (3.0.7) erscheint.
Also wäre es dir lieber die Details offenzulegen ohne dass es einen Patch gibt, damit sie auch besser genutzt werden kann?
Wäre ja schließlich sonst langweilig.
 
Nicht nur LibreOffice ist besser als OpenOffice, sondern auch LibreSSL im Vergleich zu OpenSSL ;-)
 
Mihawk90 schrieb:
Also wäre es dir lieber die Details offenzulegen ohne dass es einen Patch gibt, damit sie auch besser genutzt werden kann?
Security by obscurity ist jetzt nicht unumstritten.
 
Mihawk90 schrieb:
Also wäre es dir lieber die Details offenzulegen ohne dass es einen Patch gibt, damit sie auch besser genutzt werden kann?
Wie gesagt. Evtl. kann ich ja ein Workaround schaffen und wenn der darin besteht, das ich meinen Dienst erst mal vom Netz nehme. Es wäre ja naiv anzunehmen das nur das OpenSSL-Team von der Lücke weiß. Ich muss damit rechnen, das auch die "bösen Buben" davon wissen und Angriffe fahren.

Man kanns sowohl so herum als auch so herum argumentieren.
 
  • Gefällt mir
Reaktionen: MountWalker
SE. schrieb:
Security by obscurity ist jetzt nicht unumstritten.
Hat nur damit in diesem Zusammenhang nichts zu tun. Was du meinst, ist eine bewusste Strategie bzgl. Sicherheit bei einem Produkt - hier geht es lediglich um einen Patch für ein Produkt, der noch nicht da ist. Das ist ein bedeutender Unterschied.
 
Zurück
Oben