Ab heute wird auf den PCs der Landesverwaltung die gepatchte Version von OpenOffice 1.1.4 installiert - auch die Diskussion hier in dieser Liste hat mit dazu beigetragen, dass ich mich überzeugt habe, diese Änderung vorzuschlagen. Hat zwar 1,5 Monate gebraucht, bis alles auf das neue Paket umgestellt war. Und mit Ende Juni sollte die Installation abgeschlossen sein.

Hier ein Link zu einer Umstellungsstrategie in Schulen: http://software.newsforge.com/software/05/05/18/1944227.shtml?tid=130&ti...

Danke für das Mitdiskutieren Grüsse Erwin

-----Original Message----- From: lugbz-list-bounces@lugbz.org [mailto:lugbz-list-bounces@lugbz.org] On Behalf Of Patrick Ohnewein Sent: Freitag, 15. April 2005 17:15 To: Linux User Group Bozen-Bolzano-Bulsan Subject: Re: [Lugbz-list] Sicherheitsfalle in OpenOffice

-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1

Pfeifer, Erwin schrieb:

Nun, so alt ist die 1.1.2 auch nicht, aber ein Rollout ist keine so einfache Sache, das Paket wurde im Sommer letzten Jahres erstellt. Wenn ich da noch dreinpfusche... Besser auf die 2 Version warten und mit der älteren Version durchziehen. Habe bereits mit unseren Technikern wegen des Patches gesprochen: ein Upgrade wird wohl so schnell nicht passieren und erst mit dem Rollout der neuen Version erfolgen.

Das OOo Team ist sehr fleißig und zwischen den einzelnen Releases auch den "minor version releases" wird immer sehr viel verbessert. Daher finde ich es schon sehr schade, dass ihr nicht das aktuellste OOo eingesetzt habt.

Wie Markus bin auch ich ein wenig verwundert, dass ihr die Sicherheitspatchs nicht hoch priorisiert. Von den Medien werden die Sicherheitslöcher meist übertrieben geschildert und immer der schlimmste Fall dargestellt. Das verkauft sich einfach besser. Aber trotzdem, wenn ich durch das Verschicken eines Dokuments Kode auf dem Rechner des Empfängers ausführen kann, dann kann ich theoretisch alles machen. Einzige Einschränkung sind die Rechte des eingeloggten Benutzers. Ich kann mir vorstellen, dass ihr den Benutzern nur die notwendigsten Rechte gegeben habt. Ich frage mich aber auch, ob sich die Administratoren noch traut werden DOC-Datei zu öffnen.

Da die Programmierer leider nicht unfehlbar sind, hat *jedes* Programm Fehler. Und Sicherheitslöcher sind nichts anderes als Fehler. In der heutigen vernetzten Welt werden Fehler schneller erkannt und die Qualität der Software in Hinblick Sicherheit wird heutzutage am Parameter "Reaktionsgeschwindigkeit beim beheben von Sicherheitslücken" gemessen.

Dies nützt aber nur dann etwas, wenn die Patchs auch fleißig eingespielt werden. Daher wär ich sehr verwundert, wenn euer System keine Funktionalität für das einfache Einspielen von Updates vorsieht.

Gute Beispiele ernsthafter Behandlung des Themas Sicherheit finden wir bei vielen GNU/Linux Distributionen. Eines davon ist sicher Debian: http://www.debian.org/security/

Happy hacking! Patrick

- -- Save software competition, use Free Software like GNU/Linux! And visit http://www.lugbz.org the Linux User Group in South Tyrol -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.2.5 (GNU/Linux) Comment: Using GnuPG with Thunderbird - http://enigmail.mozdev.org

iD8DBQFCX9p8LEmBxMM0hsARAqjjAJ9GukWe/8U4t9aFREOwoZhFaTz4iwCeMsNi wwuhP+IjksnW1gCyDMd50wI= =rzZk -----END PGP SIGNATURE----- _______________________________________________ http://www.lugbz.org/mailman/listinfo/lugbz-list