Moin,
On Fri, Dec 16, 2016 at 08:47:45AM +0100, Lindermann wrote:
> Ich meine jetzt nicht den rant-Teil gegen Debian allgemein -- afaik
> benutzt er gentoo --, sondern die Schlußfolgerung, die er aus der
> entdeckten Sicherheitslücke zieht:
>
> "Übrigens ist damals wie heute die korrekte Reaktion nicht "mal die
> Pakete updaten" sondern "mal das System komplett frisch aufsetzen"."
Aus security-Sicht ist das vermutlich der richtige Rat. D.h. wenn nur
der kleinste Grund zur Annahme bestünde, jemand hätte Interesse Dein
System zu übernehmen oder Zweifel daran bestehen, ob es jemand bereits
versucht hat, dann ist das die sichere Variante um root-Kits oder
irgendwelche anderen Schweinereien auszuschließen. Also quasi der
paranoide Ansatz.
Ich persönlich werde keines meiner Systeme neu aufsetzen, sondern es
bei den Updates belassen, weil:
»An attacker able to man-in-the-middle HTTP requests to an apt
repository that uses InRelease files …«
Das ist jetzt nicht unmöglich, ich halte es aber für einigermaßen
unwahrscheinlich, insofern mach ich mir da keine ausgiebigen Sorgen.
Grüße
Alex
--
»With the first link, the chain is forged. The first speech censured,
the first thought forbidden, the first freedom denied, chains us all
irrevocably.« (Jean-Luc Picard, quoting Judge Aaron Satie)
*** GnuPG-FP: C28E E6B9 0263 95CF 8FAF 08FA 34AD CD00 7221 5CC6 ***
Attachment:
pgp4XgpjzCOnO.pgp
Description: PGP signature