
<HTML >

<HEAD>

<META http-equiv="Content-Type" content="text/html; charset=us-ascii">


<meta name=Generator content="Microsoft Word 11 (filtered medium)">

<!--[if !mso]>

<style>

v\:* {behavior:url(#default#VML);}

o\:* {behavior:url(#default#VML);}

w\:* {behavior:url(#default#VML);}

.shape {behavior:url(#default#VML);}

</style>

<![endif]-->

<style>

<!--

 /* Font Definitions */

 @font-face

        {font-family:Tahoma;

        panose-1:2 11 6 4 3 5 4 4 2 4;}

 /* Style Definitions */

 p.MsoNormal, li.MsoNormal, div.MsoNormal

        {margin:0in;

        margin-bottom:.0001pt;

        font-size:12.0pt;

        font-family:"Times New Roman";}

a:link, span.MsoHyperlink

        {color:blue;

        text-decoration:underline;}

a:visited, span.MsoHyperlinkFollowed

        {color:blue;

        text-decoration:underline;}

span.EmailStyle17

        {mso-style-type:personal-reply;

        font-family:Arial;

        color:navy;}

@page Section1

        {size:8.5in 11.0in;

        margin:1.0in 1.25in 1.0in 1.25in;}

div.Section1

        {page:Section1;}

-->

</style>


</HEAD>

<BODY lang=EN-US link=blue vlink=blue>

<DIV>


<div class=Section1>


<p class=MsoNormal><font size=2 color=navy face=Arial><span style='font-size:

10.0pt;font-family:Arial;color:navy'>Also the official notice I got said they

think it only affected some RHEL4 and RHEL5 &#8211; it didn&#8217;t mention

Fedora but then it again RHN alerts are aimed at RHEL subscribers so they might

have just left it out.<o:p></o:p></span></font></p>


<p class=MsoNormal><font size=2 color=navy face=Arial><span style='font-size:

10.0pt;font-family:Arial;color:navy'><o:p>&nbsp;</o:p></span></font></p>


<p class=MsoNormal><font size=2 color=navy face=Arial><span style='font-size:

10.0pt;font-family:Arial;color:navy'>The link for this on RedHat&#8217;s site

is:<o:p></o:p></span></font></p>


<p class=MsoNormal><font size=2 color=navy face=Arial><span style='font-size:

10.0pt;font-family:Arial;color:navy'><a

href="http://www.redhat.com/security/data/openssh-blacklist.html">http://www.redhat.com/security/data/openssh-blacklist.html</a><o:p></o:p></span></font></p>


<p class=MsoNormal><font size=2 color=navy face=Arial><span style='font-size:

10.0pt;font-family:Arial;color:navy'><o:p>&nbsp;</o:p></span></font></p>


<p class=MsoNormal><font size=2 color=navy face=Arial><span style='font-size:

10.0pt;font-family:Arial;color:navy'>There is another link on RHN itself but

you need a login to access the other one.<o:p></o:p></span></font></p>


<p class=MsoNormal><font size=2 color=navy face=Arial><span style='font-size:

10.0pt;font-family:Arial;color:navy'><o:p>&nbsp;</o:p></span></font></p>


<p class=MsoNormal><font size=2 color=navy face=Arial><span style='font-size:

10.0pt;font-family:Arial;color:navy'>In the above link (and alert I got) it

says in part:<o:p></o:p></span></font></p>


<p class=MsoNormal><font size=2 color=navy face=Arial><span style='font-size:

10.0pt;font-family:Arial;color:navy'><o:p>&nbsp;</o:p></span></font></p>


<p class=MsoNormal><font size=2 color=navy face=Arial><span style='font-size:

10.0pt;font-family:Arial;color:navy'>&#8220;we remain highly confident that our

systems and processes prevented the intrusion from compromising RHN or the

content distributed via RHN and accordingly believe that customers who keep

their systems updated using Red Hat Network are not at risk&#8221;<o:p></o:p></span></font></p>


<p class=MsoNormal><font size=2 color=navy face=Arial><span style='font-size:

10.0pt;font-family:Arial;color:navy'><o:p>&nbsp;</o:p></span></font></p>


<p class=MsoNormal><font size=2 color=navy face=Arial><span style='font-size:

10.0pt;font-family:Arial;color:navy'>It was that statement that led me to

believe no one using RHN would have been affected.<o:p></o:p></span></font></p>


<p class=MsoNormal><font size=2 color=navy face=Arial><span style='font-size:

10.0pt;font-family:Arial;color:navy'><o:p>&nbsp;</o:p></span></font></p>


<div>


<div class=MsoNormal align=center style='text-align:center'><font size=3

face="Times New Roman"><span style='font-size:12.0pt'>


<hr size=2 width="100%" align=center tabindex=-1>


</span></font></div>


<p class=MsoNormal><b><font size=2 face=Tahoma><span style='font-size:10.0pt;

font-family:Tahoma;font-weight:bold'>From:</span></font></b><font size=2

face=Tahoma><span style='font-size:10.0pt;font-family:Tahoma'>

ale-bounces@ale.org [mailto:ale-bounces@ale.org] <b><span style='font-weight:

bold'>On Behalf Of </span></b>Jim Kinney<br>

<b><span style='font-weight:bold'>Sent:</span></b> Tuesday, September 02, 2008

2:40 PM<br>

<b><span style='font-weight:bold'>To:</span></b> ale@ale.org<br>

<b><span style='font-weight:bold'>Subject:</span></b> Re: [ale] Recent events

with RH/Fedora servers.</span></font><o:p></o:p></p>


</div>


<p class=MsoNormal><font size=3 face="Times New Roman"><span style='font-size:

12.0pt'><o:p>&nbsp;</o:p></span></font></p>


<div>


<p class=MsoNormal style='margin-bottom:12.0pt'><font size=3

face="Times New Roman"><span style='font-size:12.0pt'><o:p>&nbsp;</o:p></span></font></p>


<div>


<p class=MsoNormal><font size=3 face="Times New Roman"><span style='font-size:

12.0pt'>On Tue, Sep 2, 2008 at 2:24 PM, Scott Castaline &lt;<a

href="mailto:hscast@charter.net">hscast@charter.net</a>&gt; wrote:<o:p></o:p></span></font></p>


<p class=MsoNormal><font size=3 face="Times New Roman"><span style='font-size:

12.0pt'>Ok, at the risk of sounding totally ignorant, does that mean any Fedora<br>

9 install images that I downloaded during the time in question should be<br>

considered unsafe and immediately destroyed to oblivion, or can they be<br>

considered safe? Also any installs that may have been down with the<br>

original F 9 release images are the massive amounts of updates<br>

considered hazardous to my health?<o:p></o:p></span></font></p>


<div>


<p class=MsoNormal><font size=3 face="Times New Roman"><span style='font-size:

12.0pt'>The disk ISO's are ok as they were installed many months earlier. The

problem affects the update to ssh. As long as you do an update now, you will

get the new, clean ssh binaries.<o:p></o:p></span></font></p>


</div>


</div>


<p class=MsoNormal style='margin-bottom:12.0pt'><font size=3

face="Times New Roman"><span style='font-size:12.0pt'><br>

-- <br>

-- <br>

James P. Kinney III <o:p></o:p></span></font></p>


</div>


</div>


</DIV>

<DIV STYLE="FONT-SIZE: 9pt; FONT-FAMILY: Courier New">

<FONT FACE="Arial" SIZE="2">----------------------------------<BR>CONFIDENTIALITY NOTICE: This e-mail may contain privileged or confidential information and is for the sole use of the intended recipient(s). If you are not the intended recipient, any disclosure, copying, distribution, or use of the contents of this information is prohibited and may be unlawful. If you have received this electronic transmission in error, please reply immediately to the sender that you have received the message in error, and delete it. Thank you.<BR>----------------------------------<BR></FONT>

</DIV></BODY></HTML>