Hi Woodfighter, 1000 Dank für deine Antwort!

nein, es ist ein schlimme Sicherheitslücke, nämlich eine die ohne eine lokale Anmeldung im System ausnutzbar ist.

Das heißt über ein Netzwerk, z.B. Internet?

Und dann "default install". Würde man Linux oder andere Betriebssysteme mit ähnlichen Defaults wie OpenBSD versehen, wieviele remote holes hätte man dann in den letzten 10 Jahren zusammenbekommen?

Die Softwareliste umfaßt schon das üblicherweise nötige, geht aber kaum darüber hinaus.

Ja, so habe ich das auch verstanden. Ein Teil der Sicherheit von OpenBSD kommt vom (sinnvollen) Entschluss, unnötige Dienste zu deaktivieren.

Bei den üblichen Linuxdistributionen ist die Wahrscheinlichkeit für einen Fehler allerdings z.B. durch aktuellere Apache-Versionen und bei den komerziellen Distributionen auch durch die meist wesentlich höhere Anzahl an standardmäßig gestarteten Diensten höher.

Ja, wir meinen das gleiche. Ich bin an einem Vergleich von OpenBSD und Linux (und anderen Betriebssystemen) interessiert. Wenn theoretisch Linux mit vergleichbaren Defaults wie OpenBSD installiert würde, wie sähe dann die Statistik bezüglich der remote holes bzw. Sicherheitslücken aus?
Ich kann mir schwer vorstellen, dass das nicht schon einmal jemand nachgezählt hätte - und sei es, um zu "beweisen", dass Linux (etc.) viel sicherer sei als OpenBSD usw.
(Es geht mir hier nicht darum, OpenBSD der Schummelei bei ihrem Slogan zu "überführen" - einfach nur Interesse! Wie gesagt, der Entschluss, Dienste defaultmäßig zu deaktivieren ist ja meiner Meinung nach sicherheitstechnisch zu begrüßen.)

Weiß jemand mehr über das erwähnte remote hole? Wann trat es in OpenBSD auf? Gibt's da nähere Informationen?

Die Lücke ist von 2002 und betraf SSH: http://xforce.iss.net/xforce/alerts/id/advise123.

Ah, danke für den Link!

Gruß
Cookie