Login
Login-Name Passwort


 
Newsletter
Werbung

Mo, 13. Januar 2003, 16:05

Software::Entwicklung

Die Sicherheit bei BitKeeper

Ein Bug in BitKeeper, dem zentralen Quellcode-Verwaltungssystem des Kernels, ermöglicht einem Angreifer, BitKeeper-Rechte zu erlangen - der Hersteller reagiert nicht.

Umstritten war die Einführung des BitKeeper-Systems zur Verwaltung des Linux-Kernels. Viele Kritiker der Umstellung befürchteten, dass ein geschlossenes System Risiken mit sich bringen kann, die nicht kalkulierbar sind. Viele befürchteten, dass Fehler in BitKeeper die Sicherheit vieler Systeme beeinträchtigen könnten und Fixes durch die geschlossene Struktur für die Allgemeinheit nicht durchführbar sein werden. Richard Stallman warnte gar, dass »der Gebrauch von Bitkeeper für die Linux-Quellen einen ernsten Effekt auf die freien Software-Gemeinschaft« haben wird.

Nun, darf man einem Linux-Hacker Glauben schenken, scheint dieses Problem eingetreten zu sein. Wie Maurycy Prodeus berichtet, plagt die aktuelle Version von BitKeeper eine Sicherheitslücke, die es ermöglicht, BitKeeper-Rechte auf dem Rechner zu erlangen. Schuld an der Misere sei nach Meinung von Prodeus eine unsichere Behandlung von Dateien im /tmp-Verzeichnis.

Das Dilemma des Hackers scheint aber nicht die Lücke zu sein - schließlich kann jede Applikation Probleme haben - sondern die Reaktion seitens BitMover, Hersteller von BitKeeper. Bereits Anfang November informierte Prodeus das Unternehmen über das Problem. Waren die Anfänge der Korrespondenz noch fruchtbar, schien das Klima sich dem nahenden Ende zu verschlechtern. Larry McVoy, Autor der Applikation, erklärte, dass er »keinen Nutzen daran sieht, sich mit Sicherheitslücken zu beschäftigen, solange diese nicht kritisch sind«. Eine Erlaubnis zur Publikation des Problemes wurde dem Hacker nicht erteilt.

Zwei Monate nach dem Fund stellt nun Prodeus seine Eindrücke in Form eines Advisory vor.

Werbung
Pro-Linux
Pro-Linux @Facebook
Neue Nachrichten
Werbung