Wir werden alle sterben™


#21

ab dem Punkt wo wir sowohl auf den Gateways als auch auf den Knoten den neuen Tunneldigger haben :slight_smile:

Das ist doch aber Debian 9 oder?
Ändert aber leider auch nichts daran das der TD damit nicht mehr geht…


#22

Wir verwenden doch ohnehin ausschließlich root, jeder kann auf alle Speicherbereiche zugreifen. Das ist für uns alles nicht relevant, oder?


#23

Für den Freifunk sehe ich das auch nicht so kritisch.
Grundsätzlich sollte man natürlich alle Sicherheitspatche zeitnah einspielen.
Aber auf den Gateways wird doch kein fremder Code ausgeführt. Wie sollen dann diese Lücken ausgenutzt werden? Um auf geschützte Speicherbereiche über die Lücken zugreifen zu können, muss man doch erstmal Zugriff auf das System bekommen.


#24

Genau, habe ich auch schon eingangs so eingeschätzt:

Aber:

Daher sollten wir dennoch zeitnah patchen.


#25

Zu viel? Ja! Ausschließlich? Nein!

root@des2 ~ # ps -eo user=|sort|uniq -c | sort -rn
    114 root
      7 postgres
      2 bird
      1 vnstat
      1 nagios
      1 messagebus
      1 Debian-exim
      1 daemon
      1 bind

#26

Ja gut, aber da müsste dann jemand den Dienst hacken.


#27

Jetzt gibt’s dann auch einen richtigen Anreiz, mal eine Firmware mit dem neuen Tunneldigger zu bauen :smiley:


#28

:wink:


#29

Wir haben doch eine Firmware mit dem Gluon-TD, der auf der Upstream-Version von WLAN Slowenija beruht. Oder gibt es noch eine neuere Version?


#30

Korrekt in Lede ist die Upstream Version drin. Aber der fix von dem Session IP Bug ist in 2017.1.4 noch nicht drin.


#31

Als ich das geschrieben hatte, war die aktuelle Upstream-Version noch nicht in Gluon :smiley: Das hat sich ja nun geändert.

Wir können einfach den Tunneldigger aus dem Master-Zweig nehmen und damit bauen. Sollte gehen.