RE: [Lugbz-list] Sicherheitsfalle in OpenOffice

Nun, so alt ist die 1.1.2 auch nicht, aber ein Rollout ist keine so einfache Sache, das Paket wurde im Sommer letzten Jahres erstellt. Wenn ich da noch dreinpfusche... Besser auf die 2 Version warten und mit der älteren Version durchziehen.
Habe bereits mit unseren Technikern wegen des Patches gesprochen: ein Upgrade wird wohl so schnell nicht passieren und erst mit dem Rollout der neuen Version erfolgen.
Grüsse
Erwin

Pfeifer, Erwin schrieb:

Besser auf die 2 Version warten und mit der älteren Version durchziehen.

Und mit den Sicherheitslücken leben?

Habe bereits mit unseren Technikern wegen des Patches gesprochen: ein Upgrade wird wohl so schnell nicht passieren.

Habt ihr keinen Paketmanager? apt-get upgrade *g*

Pfeifer, Erwin schrieb:

Nun, so alt ist die 1.1.2 auch nicht, aber ein Rollout ist keine so
einfache Sache, das Paket wurde im Sommer letzten Jahres erstellt.
Wenn ich da noch dreinpfusche... Besser auf die 2 Version warten und
mit der älteren Version durchziehen. Habe bereits mit unseren
Technikern wegen des Patches gesprochen: ein Upgrade wird wohl so
schnell nicht passieren und erst mit dem Rollout der neuen Version
erfolgen.

Das OOo Team ist sehr fleißig und zwischen den einzelnen Releases auch
den "minor version releases" wird immer sehr viel verbessert. Daher
finde ich es schon sehr schade, dass ihr nicht das aktuellste OOo
eingesetzt habt.

Wie Markus bin auch ich ein wenig verwundert, dass ihr die
Sicherheitspatchs nicht hoch priorisiert. Von den Medien werden die
Sicherheitslöcher meist übertrieben geschildert und immer der schlimmste
Fall dargestellt. Das verkauft sich einfach besser. Aber trotzdem, wenn
ich durch das Verschicken eines Dokuments Kode auf dem Rechner des
Empfängers ausführen kann, dann kann ich theoretisch alles machen.
Einzige Einschränkung sind die Rechte des eingeloggten Benutzers. Ich
kann mir vorstellen, dass ihr den Benutzern nur die notwendigsten Rechte
gegeben habt. Ich frage mich aber auch, ob sich die Administratoren noch
traut werden DOC-Datei zu öffnen.

Da die Programmierer leider nicht unfehlbar sind, hat *jedes* Programm
Fehler. Und Sicherheitslöcher sind nichts anderes als Fehler. In der
heutigen vernetzten Welt werden Fehler schneller erkannt und die
Qualität der Software in Hinblick Sicherheit wird heutzutage am
Parameter "Reaktionsgeschwindigkeit beim beheben von Sicherheitslücken"
gemessen.

Dies nützt aber nur dann etwas, wenn die Patchs auch fleißig eingespielt
werden. Daher wär ich sehr verwundert, wenn euer System keine
Funktionalität für das einfache Einspielen von Updates vorsieht.

Gute Beispiele ernsthafter Behandlung des Themas Sicherheit finden wir
bei vielen GNU/Linux Distributionen. Eines davon ist sicher Debian:
http://www.debian.org/security/

Happy hacking!
Patrick

- --
Save software competition, use Free Software like GNU/Linux!
And visit http://www.lugbz.org the Linux User Group in South Tyrol

Markus Golser schrieb:

Pfeifer, Erwin schrieb:

Besser auf die 2 Version warten und mit der älteren Version durchziehen.

Und mit den Sicherheitslücken leben?

Habe bereits mit unseren Technikern wegen des Patches gesprochen: ein Upgrade wird wohl so schnell nicht passieren.

Habt ihr keinen Paketmanager? apt-get upgrade *g*

Paket in der Landesverwaltung ist was anderes als unter linux. Es gibt
also kein apt-get

Martin Senoner (emsis) schrieb:

Paket in der Landesverwaltung ist was anderes als unter linux. Es gibt
also kein apt-get

Es wird wohl etwas vergleichbares auch für Windows geben oder?
Oder sind die da echt noch so Rückständig?