Software
Die Risiken von Software-Updates
Eine Vergleichsstudie zwischen 27 Betriebssystemen deckt die Probleme bei der Verteilung von Patches auf.
Die Studie wurde von Matt Power von der Bindview Corporation erstellt. Matt ist Mitglied des RAZOR Teams, einem weltweiten Team von Sicherheitsexperten.
In der Studie sind verschiedene Linux-Distributionen, *BSD, Apple, Microsoft, kommerzielle UNIX-Varianten und andere enthalten. Die individuelle Diskussion der von den einzelnen Herstellern verwendeten Methoden nimmt etwa zwei Drittel des Reports ein.
Das erste Drittel liefert die dafür notwendige Theorie. Darin geht es hauptsächlich darum, wie und wo Patches angekündigt und veröffentlicht werden. Das Entscheidende dabei ist, daß die Echtheit der Ankündigung ebenso wie die Echtheit und Unversehrtheit der Patches verifizierbar sein muß. Dies wird meist mit digitalen Signaturen und/oder dem HTTPS-Protokoll erreicht. Die Qualität und Konsequenz dieser Vorkehrungen schwankt dabei sehr stark.
Eine überraschende Feststellung des lesenswerten Reports ist, daß mehrere Hersteller, neben einigen kommerziellen UNIX-Anbietern vor allem Apple, auf ihren FTP-Servern eine Version von wu-ftpd einsetzen, die potentiell Sicherheitslücken aufweist. Es ist denkbar, daß ein Cracker über den FTP-Service Root-Rechte auf dem jeweiligen Server erhalten kann.
