[HaBo]

Sr01 · 20.02.04, 17:21

Sicherheitsfirmen warnen vor drei unabhängigen Sicherheitslücken in Linux-Betriebssystemen. Dadurch können normale User völlige Kontrolle über einen Linux-Server oder eine Workstation erlangen. Zwei der drei Fehler finden sich im Kernel, dem Kernstück des Linux-Betriebsystems und zwar in allen aktuellen Versionen, wie die polnische Sicherheitsfirma iSEC Security Research mitteilte. Der dritte Fehler findet sich in einem Kernel-Modul, das 128-Bit-Videokarten unterstützt.

Gerade bei Servern ist es ein großes Problem, wenn User ihre Rechte zum Root ausweiten können ? das ist unter Linux der Administrator, der alle Rechte für das System besitzt. Insbesondere weil Linux gerade in diesem Bereich sehr verbreitet ist und natürlich auch viele kritische Unternehmensprozesse über diese Server laufen. Den Fehler kann nur ein lokaler User ausnützen, daher sind die Lecks nicht ganz so kritisch.

Für Alfred Huger von Symantec sind die Fehler, die in letzter Zeit in dem Open-Source-Betriebssystem aufgetaucht sind, ein Zeichen, dass die "Viele Augen"-Theorie vielleicht doch nicht so ganz wasserdicht ist. Diese besagt, dass viele Augen mehr sehen als einzelne Programmierer, und in Linux wird zunächst der Quellcode veröffentlicht, bevor es eine endgültige Version freigegeben wird und daher die meisten Fehler eigentlich gesichtet werden müssten. Doch die Fehler der letzten Monate zeigten, so Huger in amerikanischen Medien, dass die Mehrheit der Entwickler keine Lust habe, alten Code zu überarbeiten.

Wie ist eure Meinung dazu?

20.02.04, 20:58

@Sr01

Ich würde Dich erstmal bitten, auch die Quellen zu Deinen Informationen mit an-
zugeben. Damit man vielleicht mal den Original-Text selber lesen kann. Ansonsten
enthält der Bericht von Dir nicht mehr als "Meinungen eines Alfred Huger", der bei
Symnatec arbeitet. Und diese Leute verdienen immernoch Ihre Geld damit für
Windows "Software" herzustellen. Daher kann man vom Ihm wohl kaum eine "un-
parteiische Meinung zu "Linux" erwarten, wenn er mit "Linux" kein Geld verdient.

Okay, dann mal zu "seiner" Meinung. Meines Wissens nach gab es in neuerer
Zeit zwei "Bugs" im Kernel. Diese beiden "Bugs" befinden sich beide im selben
Abschnitt des Kernels, nämlich der Funktion "mremap()". Um sich dieser "Bugs" zu
bedienen muss, man aber erst mal "Zugriffsrechte" auf den Linux-Rechner haben.

Ich lege mal gleich noch die Quellen mit rein:

[1] "mremap()" Bug, isec.pl (english)
[2] anderer "mremap()" Bug, isec.pl (english)

Dabei kann man hier nachlesen, das die beiden Bugs nichts mit einander zu tun haben,
ausser das sie den selben Abschnitt im Kernel betreffen. Die Behauptung von Herr
Huger kann man dann auch für Windows aufstellen, bei denen einige Bestand-
teile schon sehr viel älter sind und immernoch "Bugs" enthalten.

Ausserdem ist ein Betriebssystem, egal wie es heisst, immer nur so sicher, wie der
"Admin" aka "root" fähig ist und es zu läßt. Was hat man von einen "sicheren" Be-
triebssystem, wenn man als "Passwort" für den "root"-User einfach "root" hat?

MfG Rushjo

Anzeige

- Anzeige -

20.02.04, 17:21	#1 (permalink)
Sr01 Registriert seit: 08.02.03 Likes: 0	Sicherheitslecks in Linux-Servern Anzeige Sicherheitsfirmen warnen vor drei unabhängigen Sicherheitslücken in Linux-Betriebssystemen. Dadurch können normale User völlige Kontrolle über einen Linux-Server oder eine Workstation erlangen. Zwei der drei Fehler finden sich im Kernel, dem Kernstück des Linux-Betriebsystems und zwar in allen aktuellen Versionen, wie die polnische Sicherheitsfirma iSEC Security Research mitteilte. Der dritte Fehler findet sich in einem Kernel-Modul, das 128-Bit-Videokarten unterstützt. Gerade bei Servern ist es ein großes Problem, wenn User ihre Rechte zum Root ausweiten können ? das ist unter Linux der Administrator, der alle Rechte für das System besitzt. Insbesondere weil Linux gerade in diesem Bereich sehr verbreitet ist und natürlich auch viele kritische Unternehmensprozesse über diese Server laufen. Den Fehler kann nur ein lokaler User ausnützen, daher sind die Lecks nicht ganz so kritisch. Für Alfred Huger von Symantec sind die Fehler, die in letzter Zeit in dem Open-Source-Betriebssystem aufgetaucht sind, ein Zeichen, dass die "Viele Augen"-Theorie vielleicht doch nicht so ganz wasserdicht ist. Diese besagt, dass viele Augen mehr sehen als einzelne Programmierer, und in Linux wird zunächst der Quellcode veröffentlicht, bevor es eine endgültige Version freigegeben wird und daher die meisten Fehler eigentlich gesichtet werden müssten. Doch die Fehler der letzten Monate zeigten, so Huger in amerikanischen Medien, dass die Mehrheit der Entwickler keine Lust habe, alten Code zu überarbeiten. Wie ist eure Meinung dazu?

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Ansicht
Linear-Darstellung Zur Hybrid-Darstellung wechseln Zur Baum-Darstellung wechseln

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
allgemeines zu syslog servern	robort	Network · LAN, WAN, Firewalls	7	18.09.07 16:10
Sicherheitslecks in compilierter Software finden	boehmi	(In)security allgemein	1	18.07.07 09:05
Kopete verbindet immer mit IRC-Servern	RemoteC	Linux/UNIX	0	14.02.07 20:48
Authentifizierung bei FTP servern	schmidtl_dd	(In)security allgemein	1	22.12.05 14:13
Usernamen von FTP Servern auslesen.	Paranoia	(In)security allgemein	1	26.01.02 13:45

20.02.04, 20:58	#2 (permalink)
Rushjo Guest Likes:	@Sr01 Ich würde Dich erstmal bitten, auch die Quellen zu Deinen Informationen mit an- zugeben. Damit man vielleicht mal den Original-Text selber lesen kann. Ansonsten enthält der Bericht von Dir nicht mehr als "Meinungen eines Alfred Huger", der bei Symnatec arbeitet. Und diese Leute verdienen immernoch Ihre Geld damit für Windows "Software" herzustellen. Daher kann man vom Ihm wohl kaum eine "un- parteiische Meinung zu "Linux" erwarten, wenn er mit "Linux" kein Geld verdient. Okay, dann mal zu "seiner" Meinung. Meines Wissens nach gab es in neuerer Zeit zwei "Bugs" im Kernel. Diese beiden "Bugs" befinden sich beide im selben Abschnitt des Kernels, nämlich der Funktion "mremap()". Um sich dieser "Bugs" zu bedienen muss, man aber erst mal "Zugriffsrechte" auf den Linux-Rechner haben. Ich lege mal gleich noch die Quellen mit rein: [1] "mremap()" Bug, isec.pl (english) [2] anderer "mremap()" Bug, isec.pl (english) Dabei kann man hier nachlesen, das die beiden Bugs nichts mit einander zu tun haben, ausser das sie den selben Abschnitt im Kernel betreffen. Die Behauptung von Herr Huger kann man dann auch für Windows aufstellen, bei denen einige Bestand- teile schon sehr viel älter sind und immernoch "Bugs" enthalten. Ausserdem ist ein Betriebssystem, egal wie es heisst, immer nur so sicher, wie der "Admin" aka "root" fähig ist und es zu läßt. Was hat man von einen "sicheren" Be- triebssystem, wenn man als "Passwort" für den "root"-User einfach "root" hat? MfG Rushjo

[HaBo]

Sicherheitslecks in Linux-Servern