LiMux-security-versagen?

194.113.41.2 - - [03/Jan/2012:09:58:09 +0100] "GET /info/modules/system/system.css?1 HTTP/1.1" 200 9961 "https://***" "Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.9.2.13) Gecko/20110516 Ubuntu/10.04 (lucid) Firefox/3.6.13"
194.113.41.2 - - [03/Jan/2012:09:58:09 +0100] "GET /info/sites/all/modules/cck/theme/content-module.css?1 HTTP/1.1" 200 2397 "https://***" "Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.9.2.13) Gecko/20110516 Ubuntu/10.04 (lucid) Firefox/3.6.13"
194.113.41.2 - - [03/Jan/2012:09:58:09 +0100] "GET /info/sites/all/modules/filefield/filefield.css?1 HTTP/1.1" 200 1236 "https://***" "Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.9.2.13) Gecko/20110516 Ubuntu/10.04 (lucid) Firefox/3.6.13"

3.6.13 ist aus dem dezember 2010(!) http://www.mozilla.org/en-US/firefox/3.6.13/releasenotes/
ein uraltbrowser auf einem alten fetten pinguin schwimmt im weltnetz.
sicher nur ein dau dem ein boeswilliger ungewaschener baertiger frickler irgendwann mal linux installiert hat.
linux? sicher. NOT:
http://www.mozilla.org/security/known-vulnerabilities/firefox36.html

extra fuer die alten ubuntus und deren konservativer paketierung wird der 3.6er zweig von mozilla weitergepflegt - aktuell auf ubuntu lucid lynx ist version 3.6.25 (released 20.12.2011) von firefox - neben der aktuellen 9.01.
http://www.mozilla.org/en-US/firefox/3.6.25/releasenotes/
und kommt in 10.04 per LTS update(!).

[update: okay - ich bin zu doof zum lesen, aktuell in den repos ist noch 3.6.24 - update auf 3.6.25 sollte aber bald da sein]

ich wuerd ja nix sagen wenn nicht im browseragent explizit ubuntu drinstehen wuerde, andere distris pflegen ja zum beispiel pached-backports ohne anpassung der versionsnummer.

tun wir mal whois 194.113.41.2:

% This is the RIPE Database query service.
% The objects are in RPSL format.
%
% The RIPE Database is subject to Terms and Conditions.
% See http://www.ripe.net/db/support/db-terms-conditions.pdf

% Note: this output has been filtered.
%       To receive output for a database update, use the "-B" flag.

% Information related to '194.113.40.0 - 194.113.41.255'

inetnum:        194.113.40.0 - 194.113.41.255
netname:        LHM-NET
descr:          Landeshauptstadt Muenchen, Kommunale Behoerde
org:            ORG-LMI1-RIPE
country:        DE
admin-c:        HA4-RIPE
tech-c:         FB51-RIPE
tech-c:         DK306-RIPE
status:         ASSIGNED PI
mnt-by:         LHM-MNT
mnt-by:         RIPE-NCC-END-MNT
mnt-lower:      RIPE-NCC-END-MNT
source:         RIPE # Filtered

organisation:    ORG-LMI1-RIPE
org-name:        Landeshauptstadt Muenchen,Direktorium,Hauptabteilung III
org-type:        LIR
address:         Landeshauptstadt Muenchen, Direktorium, Hauptabteilung III Herzogspitalstr. 24 80331 Muenchen Germany
phone:           +49 89 23325860
fax-no:          +49 89 23398925860
e-mail:          technologie.it.dir@muenchen.de
mnt-ref:         RIPE-NCC-HM-MNT
mnt-ref:         LHM-MNT
mnt-by:          RIPE-NCC-HM-MNT
admin-c:         dk306-ripe
admin-c:         ha4-ripe
source:          RIPE # Filtered
... 

oh? das hochgelobte projekt zur linuxmigration der oeffentlichen verwaltung von muenchen?
lt. wikipedia basiert LiMux auf ubuntu 10.04 http://de.wikipedia.org/wiki/LiMux

nur - auch da sehe ich wie bei vielen oeffentlichen verwaltungen und deren it ein hinweis auf viel fail.
was nutzt opensource-software wenn uralte versionen zum einsatz kommen?

dies ist ein weiterer beitrag aus der beliebten reihe fersionsfersagenTM:
https://terter.ath.cx/blog/de/blogged/oh-not-you-again

die ich wie ueblich mit dem kommentar des bundesamtes fuer sicherheit in der informationstechnik zum neuen elektronischen personalausweis schliesse:
https://www.bsi.bund.de/ContentBSI/Presse/Pressemitteilungen/Presse2010/...
"Neben dem Browser sollten auch das Betriebssystem und alle weitere eingesetzte Software durch regelmäßige Sicherheitsupdates auf dem neuesten Stand gehalten werden."