Tweede remote exploit voor OpenBSD in 10 jaar

In de default install is ipv6 nog steeds een optie hoor. Het is echter wel een onderdeel van het systeem.

Laat die default install bij OpenBSD nou wel ontzettend karig zijn..

Dat is een vaak gehoord argument. De OpenBSD packages bevatten wel vaker bugs, al past men een hoop packages zoals Apache wel aan dmv. audits, waardoor Apache voor OpenBSD doorgaans een stuk veiliger is dan Apache voor Linux.
Echter, NetBSD of Gentoo zijn na installatie veel kaler. Persoonlijk vond ik het erg bijzonder dat OpenBSD standaard een geconfigureerde sendmail had, en er zit een hoop meer op dan op een standaard NetBSD installatie voor zover ik me herinner.
Het hangt dus van je referentiekader af.

Het is maar net wat jouw definitie van "alternatief" is natuurlijk.

(nee, dit is geen flamebait richting OpenBSD, ik gebruik het zelf namelijk ook)

Ach tja, aan de andere kant denk ik dat veel van die oudere servertjes die niet goed bijgehouden worden ook nog niet eens IPv6 support hebben. Verder moet men geloof ik ook fysieke toegang tot het lokale netwerk hebben om aan te vallen.
Als het goed is zijn belangrijke OpenBSD-servers ook uitgerust met secure-levels, die zelfs als je met root inlogt, nog ervoor zorgt dat je niet zomaar permissies hebt om alles te doen.
Desalniettemin zullen er zeker een paar niet goed onderhouden servertjes gekraakt worden.

Lek werd in eerste instantie niet als een zo groot gevaar ingeschat, het leek er alleen op dat er vanaf layer-2 networks een kernel panic kon worden veroorzaakt.

Dat lijkt me gevaarlijk genoeg om er direct iets aan te doen. Of komt het zo vaak voor dat er remote kernel panics veroorzaakt kunnen worden in OpenBSD?

Stel dat alle Windows gebruikers vandaag overstappen op OpenBSD zijn er van af volgende week ook maandelijkse updates, neem dat maar van mij aan

niets persoonlijk, dit argument duikt ontzettend dikwijls op, maar ik wil hier toch een kanttekening bij plaatsen.

Laat ik eerst een onderscheid maken tussen 2 soorten "bugs":

1) gemakkelijk te ontdekken = die iemand met beperkte of "gemiddelde" kennis van zaken kan vinden/exploiten.

2) moeilijk te ontdekken = een serieuze, diepgaande kennis/ervaring/expertise is nodig om deze te vinden, maw, de top, of indien dit te nauw is, de top en sub-top van "hackers"

(dit staat los van de ernstigheid van de bug, alhoewel de indeling waarschijnlijk wel zo zal zijn dat de fractie ernstige bugs groter is in de moeilijk te ontdekken groep, aangezien algemene debugging tijdens tests ed voor een groot deel gemakkelijk te ontdekken/detecteren bugs zal vinden en ernstige bugs gemakkelijker opvallen)

voor de eerste categorie zou het argument van "veel meer gebruikers leidt tot veel meer bugs vinden" nog opgaan, moest de huidige situatie echt zijn dat er maar een handvol mensen het draaien. Wanneer we spreken over zelfs maar 1% van de totale markt, gaat het over voldoende systemen om bij een (extra) groei in "numbers" geen of verwaarloosbaar "powers in numbers" effect te hebben.

voor de tweede categorie maakt een groei in marktaandeel helemaal niet uit: de top en sub-top zoekt sowieso toch (al dan niet met nobele intenties), grotere populariteit gaat dus grotendeels of bijna uitsluitend "mindere goden" aantrekken, die, per definitie van de indeling, in deze categorie toch niet veel gaan presteren.

My point: mijn standpunt (groter marktaandeel zou niet leiden tot exponentieel meer bugs/exploits) is even "theoretisch", maar ik heb mijn standpunt wel rationeel onderbouwd vs gewoon een gratuite uitspraak te doen die in het beste geval gebaseerd is op wishful thinking.

Iedereen heeft recht op z'n mening, niemand hoeft het eens te zijn met mijn mening, maar "wilde" uitspraken (= zonder een link naar een deftige, liefst onafhankelijke bron of zonder persoonlijke argumentatie) dragen absoluut niets bij en verzinken automatisch onmiddellijk in een wel/niet discussie

OpenSSH? Wordt door genoeg users gebruikt, vinden we nochtans toch niet echt elke maand een lek in ofzo.