Login
Newsletter
Werbung

Thema: Debian GNU/Linux 9.7 korrigiert Fehler in APT

4 Kommentar(e) || Alle anzeigen ||  RSS || Kommentieren
Kommentare von Lesern spiegeln nicht unbedingt die Meinung der Redaktion wider.
0
Von Janko Weber am So, 27. Januar 2019 um 17:31 #

>The bug has been fixed in the latest versions of apt.

Ich gehe einfachmal davon aus daß das Problem mit der Installation von
libapt-pkg4.12_1.0.9.8.5_i386.deb
apt_1.0.9.8.5_i386.deb
auf einem Debian-System erledigt ist. *?

Und frage mich wie wichtig dieses Problem in der Praxis wirklich ist.
Ist denn irgendwo erklärt wie dieser Angriff vonstatten gehen soll?

Ist es nicht doch einfachmal so:
Es gibt tausende fähige Hacker alleine in Deutschland die in der Lage
sind beinahe jeden Computer zu hacken. Wenn ein Großteil dieser
Leute aktiv wird um Probleme oder Sicherheitslücken(?) zu suchen sind
wir sehr schnell in der Situation daß wir jede Woche 2-3 solche
Sicherheits-Patches brauchen. Wer weiß denn schon wieviele solche
Mängel(?) bereits gefunden worden aber nicht veröffentlicht bzw.
dokumentiert werden und damit schlicht nicht bekannt sind?

Netzwerke sind nie sicher! Und das wird auch immer so bleiben.
Ich denke ihr versteht was ich damit meine...


MfG Janko Weber

  • 1
    Von Verfluchtnochmal-05995bd7b am So, 27. Januar 2019 um 19:12 #

    Genau, wir geben einnfach auf weil 100% nicht erreichbar ist oder was?

    0
    Von klopskind am So, 27. Januar 2019 um 20:52 #

    Ich gehe einfachmal davon aus daß das Problem mit der Installation von
    libapt-pkg4.12_1.0.9.8.5_i386.deb
    apt_1.0.9.8.5_i386.deb
    auf einem Debian-System erledigt ist. *?
    Unter Debian Jessie sollte Ihre Annahme stimmen, solange Sie das Upgrade wie oben empfohlen, d.h. unter Deaktivierung der Adressumleitung, durchgeführt haben.

    Ansonsten bestünde das Restrisiko, dass die Lücke bei Ihnen bereits ausgenutzt wurde und das System kompromittiert wurde.
    In diesem Fall sollten Sie die betroffenen System erneut aufsetzen.

    Ist denn irgendwo erklärt wie dieser Angriff vonstatten gehen soll?
    Ja sogar ganz konkret, siehe den im Artikel verlinkten Blogeintrag des Finders der Lücke, Max Justiczs.

    Zum Rest:
    Nein, ich verstehe nicht wirklich, was Sie meinen. Lautet Ihr Vorschlag, aus lauter Verzweiflung und Ohnmacht zu kapitulieren und resignieren?

    Fakt ist, dass fast niemand für "Sicherheit" in der IT bezahlt. Daher hat die Branche auch kaum Anreize, sichere Produkte und Lösungen anzubieten. Im Gegenteil, letzteres könnte sich negativ aufs Geschäft auswirken.
    Hier hilft nur ein "mit den Füßen abstimmen", d.h. mit Geld für die Produkte stimmen, die tatsächlich "sicher" sind.

    Auf der anderen Seite besteht innerhalb der Nutzerschaft ein geradezu naives Vertrauen in die Produkte.
    Hier hilft nur (Selbst-)Bildung der Anwender. Da sehe ich allerdings auch die Hersteller in der Pflicht.

    Auch sollte man sich fragen, wie attraktiv man als Ziel für Hacker denn ist. Passt man in das Raster? Was ist das Bedrohungspotential/-modell? Wie groß ist der (aggressive) Aufwand eines Hacker mindestens? Lässt sich das in etwa abschätzen? Wie kann man diese untere Grenze zu seinen Gunsten variieren? Welche proaktiven Maßnahmen ließen sich in der Praxis umsetzen? Was ist der (defensive) Aufwand hierfür?
    Letzten Endes ist es also eine individuelle Risiko- und Aufwandsabschätzung, und man sollte sich regelmäßig darüber Gedanken machen.
    Absolute Sicherheit kann nicht erreicht werden. Außer Sie ziehen alle nötigen Stecker ;)

    Sicherheit ist ein Prozess - das war es schon immer. Ja, es bleibt noch viel zu tun. Und es wird immer viel zu tun bleiben. Man selbst muss stets am Ball bleiben und, wo möglich, "best practices" umsetzen.

    • 0
      Von Janko Weber am Mo, 4. Februar 2019 um 18:00 #

      Für mich ist die ganze Computer-Industrie pauschal ausgedrückt nicht mehr als "organisierte Kriminalität" auf allerhöchstem Niveau. Es gibt für den Desktop-User seit mindestens 15 Jahren keinen Fortschritt mehr. Trotzdem werden ständig neue Computer gebaut und der Durchschnitts-Mutant kauft sich alle paar Jahre einen neuen Computer. Er läßt sich eben gerne und mit wachsender Begeisterung von den HerrenMenschen dieser Welt verarschen und an der Nase herumführen. Welche Leistung benötigt man für ein Office-Paket? Die Frage stelle mal einem der schon vor 20 Jahren die Lotus SmartSuite mit einem Pentium 133MHz und 32MB RAM verwendet hat und der Meinung ist daß ein aktuelles Office-Paket nichts besser kann was irgendwie nennenswert wäre. Und was ist mit dem Internet? Auch da geben doch die HerrenMenschen dan Takt vor. Ohne Spionage könnte das Internet auch heute noch problemlos mit jedem 20 Jahre alten Internet-Browser genutzt werden. Es gibt Internet-Seiten deren Design sich seit 20 Jahren nicht oder kaum verändert hat: und trotzdem funktionieren die mit dem damals verwendeten Internet-Browser nicht mehr. Warum wohl? Mal abgesehen von der Tatsache daß der Durchschnitts-Mutant sowieso zu faul zum Denken ist hält man für Personen die ernsthaft nachfragen immer das Argument "Sicherheit" bereit. Dies ist nicht nur das letztlich einzige ernstzunehmende Argument; es ist und bleibt Schwachsinn! Mit der Verwendung neuerer Hardware und Software wird ein System nicht sicherer, sondern es werden neue Sicherheitslücken integriert. Ich brauche vor der Sicherheits-Problematik nicht kapitulieren oder resignieren, ich nehme sie als gegeben hin und akzeptiere sie: wohlwissen das kein Sicherheits-Update das Risiko für einem Angriff auf meinen Computer nennenswert senken kann. Irgendwann wird es aber vermutlich mal ein Umdenken der Desktop-Nutzer geben. Für einen Computer der sowieso nicht ans Internet angeschlossen werden soll braucht man keine Sicherheits-Updates. Das könnte man auch heute schon begreifen! Wer entwickelt wohl immer wieder Computer-Spiele-Engines die die Hardware-Voraussetzungen ununterbrochen in die Höhe treiben ohne daß das nötig wäre? Ich kann Tropico, Anstoß 3, Die Gilde, Industriegigant 2, Unreal Tournament und andere Spiele auf einem AMD K6-2-Rechner von 1998 spielen. Und anstatt das man diese Spiele verbessert macht man unübersichtlichen 3D-Schnulli draus der selbst mit der dann nötigen Hardware und Betriebssystem-Software zu spielen keinen Spaß macht.
      Ja, ich Durchschnitts-Mutant; warum kaufe ich mir einen neuen Computer? Weil mein Computer kaputt ist oder weil ich blöd bin... *?


      >Sicherheit ist ein Prozess - das war es schon immer. Ja, es bleibt noch viel zu tun. Und es wird immer viel zu tun bleiben. Man selbst muss stets am Ball bleiben und, wo möglich, "best practices" umsetzen.

      Soll dann die Nutzung des Computers für die Privat-Person ein permanenter Prozess sein? Soll sich der Desktop-Nutzer permanent Gedanken darüber machen müssen wie sicher sein Computer vor Angriffen ist? Das ist doch Schwachsinn!

      Ich kann auch auf der Straße permanent aufpassen daß nicht irgendjemand hinter mir läuft, der ein Messer zieht und mich ersticht. *?
      Manche Bedrohungen sind und bleiben und man kann nichts dagegen tun....


      MfG Janko Weber

Pro-Linux
Pro-Linux @Twitter
Neue Nachrichten
Werbung