Obwohl Sicherheitslücken in Microsoft Windows die größte Aufmerksamkeit erregen, haben Sicherheits-Experten diese Woche zwei Lücken in Open Source-Software gefunden. Die schwerwiegendere betrifft Sendmail, ein Open Source E-Mail-Server.
„Es ist ein sehr schwerwiegender Fehler“, so Dan Ingevaldson von Internet Security Systems in Atlanta. „Die Sicherheitslücke könnte möglicherweise von Hackern ausgenutzt werden“, so Ingevaldson weiter. Eine andere Sicherheitslücke in Open SSH, das für verschlüsselten Remotezugriff auf Netzwerke verwendet wird, erweist sich in der Praxis wohl als weniger gefährlich. Es könnte jedoch auch hier möglicherweise zu einem Angriff kommen. Der Fehler tritt vor der Authentifizierung auf, das heißt ein Angreifer bräuchte gegebenenfalls keine Zugangsrechte, um die Sicherheitslücke auszunutzen.
Die Lücken traten ans Licht der Öffentlichkeit, als Warnungen über Angriffe auf die letzte Woche in Windows bekannt gewordenen Sicherheitslücken geäußert wurden. Auch die Diskussion über die Sicherheit von kommerzieller im Vergleich zu Open Source-Software wird dadurch weiter angefacht. „Es gab jedes Jahr genauso viele Sicherheitslücken in Open Source-Software wie in Microsoft Produkten“, so Ingevaldson. „Es ist zwar schwierig, die beiden Lager direkt miteinander zu vergleichen. Dennoch nutzen beide ähnliche Entwicklungstools und haben ähnliche Schwierigkeiten, den Überblick über mehrere Millionen Codezeilen zu behalten.“
Neueste Kommentare
23 Kommentare zu Neue Sicherheitslücken in Open Source-Software
Kommentar hinzufügenVielen Dank für Ihren Kommentar.
Ihr Kommentar wurde gespeichert und wartet auf Moderation.
Verschiedene Agendas
Hallo zusammen,
warum Sicherheitslücken bei Microsoftprodukten die Gemüter so erregen, aber bei OpenSource die meisten Verständnis zeigen, ist doch schon merkwürdig.
Vielleicht liegt es daran, wie sich Microsoft gibt (und wieviel es nimmt vom Kunden) im Gegensatz zu OpenSource.
Seid mir aber klar geworden ist, dass beide "Hersteller" versuchen, ein vernünftiges Produkt abzuliefern, bin ich nicht mehr ganz so aggressiv gegenüber Fehlern in Microsoftprodukten. Ich denke, daß das Problem auch daran liegt, dass MS eine große Vermarktungsmaschine betreibt, die den Programmierern die Richtung vorgibt, sprich dieses und jenes Zusatzprogramm muss rein, dass diese und jene Information ausliest, damit dieses und jenes mehr oder weniger richitge Marketingziel erreicht wird.
Man sollte unterscheiden und anerkennen, dass die Programmierer beide Lager versuchen, ein sehr gutes Produkt abzuliefern. Jedoch aber das Ziel und die Agenda unterschiedlich sind, wodurch halt die verschiedenen Ansichtsweisen her resultieren.
Ich habe jetzt mehr Verständnis für Fehler in Microsoftprodukten, was nicht heisst, dass ich das gut finde. Jedoch finde ich mittlerweile die UpdateFunktion in Windows recht gut, auch wenn die autmatische Abfrage zum Glück ausgestellt ist. Es gibt nämlich andere Anbieter, die einfach nur in einer Readme-Datei auf eine Webaddresse verweisen, was nun wirklich nicht kundenorientiert und benutzerfreundlich ist.
Abschliessen ist zu sagen, dass ich leider noch immer Schwierigkeiten habe, Worddokumente (.doc, .rtf) in OOorg zu importieren. Schade, dass das noch nicht klappt, denn so muss ich MS Office aus Kompatiblitätsgründen weiterbehalten.
Sorry, daß ich nicht haargenau mich zum Thema geäußert habe. Ich hoffe, das geht in Ordnung.
MfG
Open Source vs MIcrosoft
Kann schon sein, das es genauso vieleSicherheitslücken gibt, aber wie schnell gibt es Microsoft-Patches im Gegensatz zu Open Source-Patches. Außerdem muss ich für OPEN SOURCE keinen Pfennig an Lizenzgebühr bezahlen. Wenn Microsoft Geld verdienen möchte, dann sind Sie auch dazu verpflichtet fehlerfreie Software zu liefern und den User nicht als Testkandidaten zu missbrauchen
AW: Open Source vs MIcrosoft
… na den Patch, der den Blaster verhindert hat, gab’s im Gegensatz zu Linux bereits 4 – 5 Wochen bevor Blaster überhaupt kam.
Sind doch gefixt…
Im Gegensatz zur Windows Welt sind
die Fehler inzwischen durch Online Updates
behoben.
Niemand bestreitet, dass OSS Fehler hat,
aber die Fixes sind 100 mal schneller
verfügbar als bei Microsoft
Der Vergleich hinkt
MS: Betriebssysteme (nur noch W2000/XP, da W98/Me abgekündigt), Office-Palette.
Open-Source: Versch. Linux-BS und mehrere tausend verschiedene Programme.
Da wird eine ganze weltweite Entwickler-Gemeinde mit einer unüberschaubaren Anzahl von Programmen mit einem Hersteller verglichen, der aktuell vielleicht 6-8 wichtige Produkte anbietet (BS, Server-BS, Office). Ein normales Windows-System (ab 100 Euro)ist dermaßen nackt, dass man außer surfen nichts damit anfangen kann. Eine Linux-Distribution für 50 Euro enthält eine Unmenge an Software für fast jeden Bereich.
AW: Der Vergleich hinkt
Unmengen von Software, wo die meisten Normalnutzer nix mit Anfangen können weil man erst in den Tiefen von Linux rumschrauben muss. Ja ok Microsoft Systeme sind etwas nackt aber wieso? Ver verbietet denn, dass Programme wie Internet Explorer und Media Player auf zukünftigen Windows Systemen zu findne sind? Außerdem kaufst du bei Linux die Katze im Sack! Bei Microsoft bekommst du lizensierte Software, wo eine ganze Entwicklerarmee hintersteht!
AW: AW: Der Vergleich hinkt
Alos die „Katze im Sack kaufen“, dass geschieht bei Windows, bei Linux liegt der Quellcode offen, wie der Name Open-Scoure ja auch schon sagt.
AW: AW: Der Vergleich hinkt
Also die „Katze im Sack kaufen“, dass geschieht bei Windows, bei Linux liegt der Quellcode offen, wie der Name Open-Scoure ja auch schon sagt.
AW: AW: AW: Der Vergleich hinkt
Den meisten Linux Jüngern könnte man doch einen großen Kommentar an die Sicherheitslücke im Source Code schreiben und Sie würden den Wald vor lauter Bäumen nicht sehen…
AW: AW: AW: AW: Der Vergleich hinkt
Hast du je eine Linux-Distribution auf deinem PC installiert…………..ich kann diesen Quatsch von Leuten wie dir nicht mehr ertragen, denn entweder seid ihr stinksauer über eures verschwendetes Geld an M$ und deren kundenverachtende Sicherheitspolitik oder aber du hast EINMAL versucht, Linux zu installieren und bist schon beim partitionieren gescheitert, spätestens aber bei der Einrichtung (kompilieren, sogar bei den der .exe-Datei ähnlichen RPMs versagt?) eines beliebigen Programms
Und schiebst dann deinen ganzen Frust auf das BS bzw. auf Leute, die lernen wollen.
AW: AW: AW: Der Vergleich hinkt
OK, Du hast Recht, man hat den Source-Code.
Meine Frage an Dich … – hast Du Dir den schon mal angeschaut ???
Könntest DU den Fehler finden ???
Wenn Du mich fragst, ist z.B. der Kernel-SourceCode( ausser vielleicht für den CCC oder einige wirkliche Gurus) "praktisch" nutzlos.
Ideologisch bin ich auch von OpenSource fasziniert, die praktische Auswirkung ist aber teilweise sicher auch hinderlich, wenns keine einheitliche Richtung gibt. Sie Dir doch mal die Autos an – kannst Dich noch dran erinnern, dass Citroen vor 20 Jahren den Blinker rechts hatte und nicht links … – unvorstellbar ? – Nein, Herstellerfreiheit !
Und genauso glaub ich ist es mit OpenSource – Keine Frage, dass da einige absolut geniale Programme entstanden sind – aber wenn ich mir dann wiederum ansehe, dass auf 10 verschiedenen Unix.-Derivaten nicht mal die einfachsten Befehle (ls, etc.) standardmäßig das gleiche machen wunderts mich nicht, dass Windows boomt !
Vom Anwender-(Um)Schulungsaufwand für Linux mal ganz zu schweigen …
P.S.: Bin ein "alter" Hase der EDV und mit UNIX-Derivaten "aufgewachsen" …
Es gibt keine sicheren Betriebssysteme
Es ist eine Illusion und es wird eine Illusion bleiben. BS müssen um arbeiten zu können kommunizieren und da gibt es dann auch Lücken, die man immer wieder aufreisst und welche die so utopisch sind, dass man sie vernachlässigen könnte. Das Problem ist wie man damit umgeht. Während MS selbst die Berichterstattung darüber verbieten möchte und mehr als einmal Kunden im Regen stehen ließ, sowie seine Produkte maximal 3-5 Jahre überhaupt unterstützt, gibt es Betriebssysteme die regelmäßig gepflegt werden, die man mit ein bischen Aufwand ohne große Zusatzkosten up to date halten kann und die auf Grund ihrer Anlage sicherer sind. Gemeint ist nicht nur Linux auch Unix oder Solaris sind in dieser Beziehung besser strukturiert. Die OpenSource Bewegung sollte aber nicht die gleichen Fehler wie Gates machen und die Probleme vertuschen und verniedlichen. Es gibt viel Arbeit, packen wir es an.
BT
RE: Neue Sicherheitslücken in Open Source-Software
bei Closed Source kann außer der Entwicklerfirma niemand den Code einsehen und ändern. Wenn folgliche Fehler/Löcher bekannt werden ist man auf den „Großmut“ und „goodwill“ der Entwicklerfirma angewiesen. Und wenn die das Produkt nicht mehr supporten – oder gar pleite gegangen sind? Dann leben wir mit den bekannten Fehlern/Löchern bis zum Sankt Nimmerleinstag. Das ist doch vieeeel besser.
AW: RE: Neue Sicherheitslücken in Open Source-Software
Eigendlich läuft auf den meisten Rechnern Windows oder? Und warum? Weils halt am weitesten Verbreitet ist. Open source…schön und gut…du kannst aus den Baukasten Linux dein Wunschsystem rausgrabschen aber wer hat da wirklich lust dazu außer Vollprofis und PC-Freaks? Ich will jedenfalls keinen PC haben, wo ich erst mit Programmierkenntnissen in meinem Betriebssystem etwas reißen kann. Außerdem will ich nicht, das irgendein Linux-Hacker (ja die gints auch, das wird auch zu oft verniedlicht) in meinem PC rumpfuscht und ich es erst merke wenns zu spät ist! Microsoft hält genau aus 3 Gründen ihren Source so unter verschluss: 1.)Man will ja Geld verdienen und nicht welches Verlieren indem man Windows in kleine Häppchen zerteilt und Umkrempelt. 2.)Für Windows hat man ein System, wo alle eingeifen können: Homeuser, genau so wie Büroleute oder PC-Freaks! 3.) Nicht zuletzt weil der Ansturm von Viren heut so Groß ist, das MS selber nicht nachkommt. Stellt euch mal bitte Windows, das meist genutzte Betriebssystem,als Open Source vor…wer von euch würde da im Web überleben außer die Vollprofis? Von den Bedingngen sind alle mit Windows im Netz gleich. Bei Linux würde der dominieren, der das schönste System zusammengebastelt hat. Und der würde auch sicherlich tun können was er will, einschließlich euern PC zu kleinschrott verarbeiten!
ISS – Technology Partner:
http://www.iss.net/partners/aboutpartners/tech.php
Nobody is Perfekt
– – – Nobody is Perfekt – – –
Weder die Open Source Systeme noch Windows Systeme sind 100%ig ohne Fehler und das wird es auch wohl kaum anders werden selbst wenn die ganze Welt den Quellcode liest.
Jeder der etwas macht, macht Fehler, wer keine Fehler macht der hat auch noch nie etwas gemacht.
– – – Nobody is Perfekt – – –
das ist einer der Vorteile von OpenSource
Der Code ist einsehbar und viele Leute können ihn kontrollieren und Sicherheitslücken entdecken. Programmierer sind Menschen und machen nunmal Fehler, nur wie leicht diese Fehler zu finden sind, macht den entscheidenen Unterschied.
AW: das ist einer der Vorteile von OpenSource
Open Source ist nicht nur ein Vorteil, Programmierfehler zu finden und zu beheben… auch Hacker können den Source-code sehen, und so ohne probleme Sicherheitslücken ausnutzen.
AW: das ist einer der Vorteile von OpenSource
Open Source hat nicht nur den VORTEIL Programmierfehler zu finden und zu beheben… auch Hacker können den Source-code sehen, und so ohne probleme Sicherheitslücken ausnutzen. Hoffen wir dass Sie in Zukunft die Fehler finden, bevor dies die Hacker tun.
AW: das ist einer der Vorteile von OpenSource
fullack……….gehört jetzt eigentlich nicht zum Thema, aber z.B mußte ich heute mal 2 Monitore an ein Linuxsystem anschließen. 2 Sizungen gestartet + jeder konnte für sich arbeiten – soweit alles bekannt.
Jetzt war aber die Suche nach einer guten Kamera angesagt – der eine schrieb gerade ein Kommentar – und auf dem anderen Monitor haben wir einfach das Fenster geteilt, einer hat gegoglet(Maus), der andere hat unter Stiftung Warentest nach den besten Digicams geschaut(SC über Tastatur). Also 3 Leute aktiv an einem! Rechner………..wie gesagt, gehört nicht zum Thema, aber ich kann die ganzen Linux-Ignoranten einfach nicht mehr lesen…………..weil genau die, die am lautesten schreien, noch NIE mit Linux gearbeitet haben!!!
Ansonsten wird jede erkannte Sicherheitslücke ratzfatz gefixed und nicht – siehe M$ – solange unter Verschluß gehalten, bis es einen Patch gib (oder den Patch eines Patches…………..läßt sich beliebig fortsetzen)
cu
Sly
AW: das ist einer der Vorteile von OpenSource
fullack……….gehört jetzt eigentlich nicht zum Thema, aber z.B mußte ich heute mal 2 Monitore an einen! Linuxrechner anschließen. 2 Sizungen gestartet + jeder konnte für sich arbeiten – soweit alles bekannt.
Jetzt war aber die Suche nach einer guten Kamera angesagt – der eine schrieb gerade eine Mail einschließlich Bildbearbeitung – und auf dem anderen Monitor haben wir einfach das Fenster geteilt, einer hat gegooglet(Maus), der andere hat unter Stiftung Warentest nach den besten Digicams geschaut(SC=Shortcuts über Tastatur). Also 3 Leute aktiv an einem! Rechner………..wie gesagt, gehört nicht zum Thema, aber ich kann die ganzen Linux-Ignoranten einfach nicht mehr lesen…………..weil genau die, die am lautesten schreien, noch NIE mit Linux gearbeitet haben……
Nur mal so nebenbei, was Multitasking (Multiusing) wirklich bedeutet.
Zurück zum Thema:
Bei Open-Source wird jede erkannte Sicherheitslücke ratzfatz gefixed und nicht – siehe M$ – solange unter Verschluß gehalten, bis es einen Patch gib (oder den Patch eines Patches…………..läßt sich beliebig fortsetzen)
cu
Sly
AW: das ist einer der Vorteile von OpenSource
fullack……….gehört jetzt eigentlich nicht zum Thema, aber z.B mußte ich heute mal 2 Monitore an einen! Linuxrechner anschließen.
2 Sizungen gestartet + jeder konnte für sich arbeiten – soweit alles bekannt.
Jetzt war aber die Suche nach einer guten Kamera angesagt – der eine schrieb gerade eine Mail einschließlich Bildbearbeitung – und auf dem anderen Monitor haben wir einfach das Fenster geteilt, einer hat gegooglet(Maus), der andere hat unter Stiftung Warentest nach den besten Digicams geschaut(SC=Shortcuts über Tastatur).
Also 3 Leute aktiv an einem! Rechner………..wie gesagt, gehört nicht zum Thema, aber ich kann die ganzen Linux-Ignoranten einfach nicht mehr lesen…………..weil genau die, die am lautesten schreien, noch NIE mit Linux gearbeitet haben……
Nur mal so nebenbei, was Multitasking (Multiusing) wirklich bedeutet.
Zurück zum Thema:
Bei Open-Source wird jede erkannte Sicherheitslücke ratzfatz gefixed und nicht – siehe M$ – solange unter Verschluß gehalten, bis es einen Patch gib (oder den Patch eines Patches…………..läßt sich beliebig fortsetzen)
cu
Sly
sorry für 3x denselben Kommentar…………
und das Schärfste, es funktioniert immer noch…………….lol……….