On Sun, May 09, 2004 at 07:36:30PM +0200, Eric Schaefer wrote:
Nein. Wenn jetzt (in drei Minuten) jemand eine sshd-Lücke mit patch und exploit veröffentlicht, kann ich den Patch gleich reviewen (so ich das wissen dazu habe), patchen, kompilieren, fertig.
Naja, das ist schon etwas theoretisch, meinst du nicht? Wieviele Leute sind in der Lage, gerade bei ssh, das wirklich einzuschätzen.
Bis ein Paket dafür da ist, vergehen meist ein paar Stunden und das kann bei verschiedenen Servern schon zu spät sein.
Das stimmt. Dafür hat aber der entsprechende Maintainer in 90% der Fälle mehr Ahnung von den Projektdetails als du, zumindest würde ich das von mir selbst sagen. Außerdem geht es hier ganz einfach um Ökonomie, der Zeitaufwand für sowas steht i.A. in keinem Verhältnis zum nutzen. Hängt natürlich vom Einsatzgebeit ab.