Das sowas passieren kann, gut damit kann ich mich eigentlich in gewisser Weise noch abfinden. Man kann nicht davon ausgehen, dass jeder Programmierer sofort den Quelltext von einem anderen Programmierer versteht. Allerdings stellt sich die Frage: "Sollte ein Programmierer den Quelltext verändern, wenn er ihn nicht versteht und das ganze dann an tausende Benutzer ausgeben?"
Noch viel schlimmer ist, dass dieser Fehler 2 Jahre lang einfach nicht bemerkt worden ist. Da frag ich mich, wie das bei der Philosophie von Debian passieren kann. Angeblich muss jedes Paket eine lange Erprobungsphase bestehen, bis es released wird.
Ich war bisher auch der Meinung, dass die Distributoren, die Pakete verändern müssen, damit sie sie auf das jeweilige System anpassen können. Aber ich bin davon ausgeganen, dass diese so verändert werden, dass sie ihre Funktion noch vollständig gegeben ist.
Man muss sich mal überlegen, was das z.B. für CaCert bedeudet. Ich geh mal stark davon aus, dass die auf OpenSSL gesetzt haben.
Davon mal abgesehn ist es jetzt passiert, der Fehler wurde entdeckt und die Admins müssen jetzt reagieren. Bedeudet halt etwas Arbeit. Typischerweise hat man selbst erstellte Zertifikate eh nur selbst in Verwendung, z.B. für SSH. Zertifikate für Webseiten sind meistens von einer öffentlichen Stelle. Von daher dürfte es sich für die größte Anzahl von Admins in Grenzen halten.
Genau hier fand ich die Reaktion von Strato positiv. Diese Email hat wirklich jeden Stratokunden erreicht. Wenn jetzt jemand nicht aufwacht is er selber schuld.
