Am So, den 09.05.2004 schrieb Fabian Hänsel um 20:15:
Wenn jetzt (in drei Minuten) jemand eine sshd-Lücke mit patch und exploit veröffentlicht, kann ich den Patch gleich reviewen (so ich das wissen dazu habe), patchen, kompilieren, fertig. Bis ein Paket dafür da ist, vergehen meist ein paar Stunden und das kann bei verschiedenen Servern schon zu spät sein.
Bist du auch Nachts immer wach, falls jemand um 24h eine Lücke veröffentlicht? Oder zwei Lücken gleichzeitig? ;-) Also ich würde mich da gerade auf ein automatisiertes stündliches (oder auch dreiminütiges) Update aus externer (fähiger) Quelle verlassen (Updates/Patches digital signiert, versteht sich).
Das "in drei Minuten" sollte eigentlich deutlich machen, das es eine Überspitzung ist.
(Nicht nur, dass ich gerne mal schlafe, ich mache gerne am Tag auch noch andere Dinge != Serveradministration. ;-)
Echt jetzt? Ganz ohne Scheiß? Du veralberst mich doch... ;-P
Source-Review ist ja schön und gut, aber ich z.B. als Normalsterblicher kann die $vielen GB Source-Code, aus denen mein System besteht, nie vollständig durchsehen (bzw. Warum willst du gerade/nur die Patches durchsehen?).
Ich habe dafür Experten auf der ganzen Welt... ;-)
Ich halte die Chance, dass ich einen Fehler im Patch übersehe für wesentlich größer, als dass das einem der Autoren der SW/dem Maintainer des Paketes passiert.
1. "so ich das Wissen dazu habe". Habe ich meistens nicht. Das "ich" war auch nicht unbedingt auf meine Person bezogen (Stichwort "Überspitzung") 2. Den Patch der SW-Autoren habe ich wahrscheinlich eher als das Paket vom Distri-Maintainer.
Eric