Microsofts Patchverhalten und Linux

[io.sys]

Hallo,

ich habe gerade mal wieder nach ein wenig längerer Zeit auf meinen Server geguckt und dort das Windows update laufen lassen.

Da schlägt mir der liebe Updater doch mal schnell 40MB in knapp 10 Patches vor.

Ich arbeite jetzt seit 6 Jahren in nem professionellen EDV Umfeld und muss sagen, ich kann die Patches und Updates nicht mehr zählen, die ich allein für Windows 2000 installiert habe.

Anderseits muss ich sagen, dass ich Windows 2000 als eines der besten Programme behandle, dass ich bis jetzt auf dem REchner hatte. Auch im professionellen bietet Windows 2000 durchaus gute Qualitäten.

Ist es bei Linux und Unixsystemen eigentlich auch so, dass laufend Patches herauskommen um Sicherheitslücken zu stopfen?
Wenn ja, wie wird das angehandelt?


Ich habs mal vorsichtshalber hier ins Streitgespräche getan.
Obwohl ich hier nicht flamen möchte!


mfg,

der_io

[Pirke]

Schau doch ienfach mal regelmäßig bei heise.de vorbei, da wird ja fast wöchentlich von neuen Lücken in Linus bzw einer Distribution berichtet...

[tele]

Das Problem bei den ganzen Linüxen ist einfach, dass jede Distribution und jede version a quasi ein komplett anderes OS ist - je nachdem was du eben als OS betrachtest

aber eigentlich gibts ja auch auto-update möglichkeiten ...

[Zarniwoop]

Das stimmt so nicht ganz, die allermeisten Distributionen benutzen den selben Kernel.

Zarniwoop

[Dj Piet]

Zitat:

Zitat von Zarniwoop

Das stimmt so nicht ganz, die allermeisten Distributionen benutzen den selben Kernel.

Zarniwoop

dann sind es patches für von den distributoren eingesetzer zusatzsoftware, die patches für sicherheitslücken werden bei allen gleich sein (aber auch hier abhängig von den installierten zusatzpaketen und software)

[Exit]

@io - sei doch froh das es jetzt wenigstens schon automatisch geht!

Ich habe im November 99 nen Novell 3.12 Server Jahr 2000 kompatibel gemacht - ohne das ich Ahnung von Novell hatte. Da hatte ich dann 75 Pakete von Hand runter geladen - und habe dann alle Readme's durchgearbeitet - und gerätselt ob das nun wichtig ist oder net.

Das schöne an der Sache war - das ich vermutete das es da noch nen 2. Novell Rechner gibt - und daraufhin habe ich 3 mal gefragt - aber nein - man meinte es gibt nur den einen!

Naja - und im Januar wollte man arbeiten - und der Server lief auch sauber (puh - hat geklappt) nur das Drucken ging net mehr - und das war der 2. Novell Rechner - der unter nem Tisch versteckt war (in ner Ecke) und für den Drucker zuständig war. Der hat das Jahr 2000 dann net geschafft - und lief net mehr sauber.

[tele]

Zitat:

Zitat von Zarniwoop

Das stimmt so nicht ganz, die allermeisten Distributionen benutzen den selben Kernel.

Zarniwoop

den selben wohl kaum - sonst würde z.b. bei meinem (fedora Core 4) mittels uname -r kaum ein _FC4 und bei dem suse 9.3 des nachbars ein -default hinten dran sein (was mich verwundert - suse hat doch sonst auch immer kräftig am kernel rumgepatcht)

außerdem geht es nicht nur um den Kernel, sondern wohl eher um die komplette systemumgebung

[_Smash_]

@io:

bei meinem gentoo linux kommen sogar weitaus mehr patches und updates raus, als für windows.
allerdings auch, weil in dieser distribution die komplette installierte software in dem updatesystem erfasst ist und aktualisiert/gepatcht wird.

[io.sys]

Naja mir gings nur darum, ob eben diese Geschichte mit den Patches auch bei anderen Betriebssystem so extrem ist.

[tele]

das problem ist denke ich auch die Vergleichbarkeit.

Ein OS wie linux hat eigentlich einen wesentlich kleineren Betriebssystemteil als z.b. MS Windows. Damit ist auch die Menge an nötigen Patches für 2. größer.

Die PAtches die unter Linux anfallen sind meistens dann für serversoftware oder Tools die mitgeliefert werden, aber eigentlich kein teil des OS sind.

wobei für den Benutzer eher die gesamtmenge an patches von bedeutung ist.


Ein kleiner erfahrungs-nerf-bericht am rande:

letzten Sonntag unter Fedora Core 4 onlineupdate gemacht und der hat bei ca 50 paketen gefrag ob er die wirklich installieren will weil keine Signatur dran ist - nein natürlich keine "für alle" schaltfläche da - sehr ärgerlich!


Gruß

tele

[kerri]

Zitat:

Zitat von tele

[...]
letzten Sonntag unter Fedora Core 4 onlineupdate gemacht und der hat bei ca 50 paketen gefrag ob er die wirklich installieren will weil keine Signatur dran ist - nein natürlich keine "für alle" schaltfläche da - sehr ärgerlich!
[...]

Ging yum -y update nicht?

Gruesse, kerri

[Audioslave]

@tele du kannst die Patches bedenkenlos aufspielen.

[HyperY2K]

aber ein großer vorteil gegenüber Windows ist meiner Meinung nach, dass man unter Linux im Regelfall für Patche nicht neustarten muss (Es sei denn es sind kernel-updates )

[Qndre]

Natürlich gibt es in Linux auch Sicherheitslücken. Nur gibt es dort im wesentlichen folgende Unterschiede:

- Der Quelltext ist offen und die Lücken können auch von anderen als den ursprünglichen Entwicklern entdeckt und gefixt werden.

- Bei Linux lässt sich fast jede Komponente mit fast jeder anderen Komponente verwenden (weiß ich, weil ich alles (kernel, init, freetype, x11, bison, expat, flex, fontconfig, ncurses, perl, zlib, ...) von Sourcecode compiliere und dort fast alle Versionen zueinander kompatibel sind, es sei denn in der BUILD Datei sind einzelne Konstillationen explizit ausgeschlossen, was selten vorkommt), somit kann der Angreifer, wenn er zum Beispiel weiß, dass Du Kernel 2.6.11 verwendest, nicht wissen, dass Du auch expat-1.95.8 verwendest (vorrausgesetzt Du verwendest keine fertige Distribution).

- Jeder Prozess hat bestimmte Rechte, die vom Administrator explizit definiert werden können. Dabei gilt: So viele Rechte wie nötig, damit der Prozess arbeiten kann, so wenige Rechte wie möglich. Dabei wird sowohl Verschlüsselung verwendet, die wirklich sichert, als auch DRM-ähnliche Ansätze (diese haben hier den schlechten Ruf nicht, da Root wirklich die volle Kontrolle über diese Flags hat und damit kein Kopierschutz-Müll betrieben werden kann). Wenn ein Angreifer eine Sicherheitslücke in einem Prozess ausnutzen kann, hat er nur maximal die selben Rechte wie der Prozess, den er kompromittiert hat.

Kurz und knapp: Linux ist viel zu flexibel. Ein Angreifer kann sich nie sicher sein, woran er ist. Es gibt unzählige Kombinationsmöglichkeiten für grundlegende Softwarekomponenten, vor allem wenn der Kernel auch noch selbst compiliert wird. Hier sind unzählige Möglichkeiten vorhanden, wie der Anwender die Kernel an genau sein System anpassen kann, um maximale Performance und Stabilität zu erhalten. Dadurch entsteht für jede mögliche Kombination (und auch für verschiedene Plattformen, zum Beispiel i586, i686 oder 686_64) eine andere Binary, deren Routinen dann an völlig anderen Speicheradressen stehen, etc. Für einen Angreifer unüberschaubar.

Einen Unterschied, der die unterschiedlichen Sicherheitsmentalitäten deutlich macht ist die Art des Firewallings: Unter Windows sind nach Installation einer Firewall meist alle Ports geschlossen. Anwendungen fragen darauf nach Zugriffsrechten, dadurch werden einzelne Ports geöffnet. Unter Linux sind nach Konfiguration der Firewall alle Ports offen und können von jeder Anwendung verwendet werden. Einzelne Ports, von denen Gefährdungen ausgehen könnten, werden geschlossen. Die große Masse der Ports bleibt offen und kann von den Anwendungen und Systemdiensten genutzt werden. Das liegt daran, dass unter Linux offene Ports kaum eine Bedrohung darstellen, während unter Windows hartnäckig versucht wird, die Löcher quasi "möglichst großflächig zu überdecken" anstatt sie wirklich zu beseitigen (die kurieren die Symptome, nicht die Krankheit).

[Stöhnie]

@qndre Trifft das auch auf den für Linux geschriebenen Virus in Form eines Email Anhanges zu? Oder nur für den Hacker, der versucht in dein Netzwerk einzubrechen?