Login


 
Newsletter
Werbung

Do, 28. Dezember 2000, 23:09

Software

Die Risiken von Software-Updates

Eine Vergleichsstudie zwischen 27 Betriebssystemen deckt die Probleme bei der Verteilung von Patches auf.

Die Studie wurde von Matt Power von der Bindview Corporation erstellt. Matt ist Mitglied des RAZOR Teams, einem weltweiten Team von Sicherheitsexperten.

In der Studie sind verschiedene Linux-Distributionen, *BSD, Apple, Microsoft, kommerzielle UNIX-Varianten und andere enthalten. Die individuelle Diskussion der von den einzelnen Herstellern verwendeten Methoden nimmt etwa zwei Drittel des Reports ein.

Das erste Drittel liefert die dafür notwendige Theorie. Darin geht es hauptsächlich darum, wie und wo Patches angekündigt und veröffentlicht werden. Das Entscheidende dabei ist, daß die Echtheit der Ankündigung ebenso wie die Echtheit und Unversehrtheit der Patches verifizierbar sein muß. Dies wird meist mit digitalen Signaturen und/oder dem HTTPS-Protokoll erreicht. Die Qualität und Konsequenz dieser Vorkehrungen schwankt dabei sehr stark.

Eine überraschende Feststellung des lesenswerten Reports ist, daß mehrere Hersteller, neben einigen kommerziellen UNIX-Anbietern vor allem Apple, auf ihren FTP-Servern eine Version von wu-ftpd einsetzen, die potentiell Sicherheitslücken aufweist. Es ist denkbar, daß ein Cracker über den FTP-Service Root-Rechte auf dem jeweiligen Server erhalten kann.

Werbung
Pro-Linux
Pro-Linux @Facebook
Neue Nachrichten
Werbung