Microsofts Patchverhalten und Linux
 

Hallo,

ich habe gerade mal wieder nach ein wenig längerer Zeit auf meinen Server geguckt und dort das Windows update laufen lassen.

Da schlägt mir der liebe Updater doch mal schnell 40MB in knapp 10 Patches vor.

Ich arbeite jetzt seit 6 Jahren in nem professionellen EDV Umfeld und muss sagen, ich kann die Patches und Updates nicht mehr zählen, die ich allein für Windows 2000 installiert habe.

Anderseits muss ich sagen, dass ich Windows 2000 als eines der besten Programme behandle, dass ich bis jetzt auf dem REchner hatte. Auch im professionellen bietet Windows 2000 durchaus gute Qualitäten.

Ist es bei Linux und Unixsystemen eigentlich auch so, dass laufend Patches herauskommen um Sicherheitslücken zu stopfen?
Wenn ja, wie wird das angehandelt?


Ich habs mal vorsichtshalber hier ins Streitgespräche getan.
Obwohl ich hier nicht flamen möchte!


mfg,

der_io :wink:

AW: Microsofts Patchverhalten und Linux
 

Schau doch ienfach mal regelmäßig bei heise.de vorbei, da wird ja fast wöchentlich von neuen Lücken in Linus bzw einer Distribution berichtet...

AW: Microsofts Patchverhalten und Linux
 

Das Problem bei den ganzen Linüxen ist einfach, dass jede Distribution und jede version a quasi ein komplett anderes OS ist - je nachdem was du eben als OS betrachtest

aber eigentlich gibts ja auch auto-update möglichkeiten ...

AW: Microsofts Patchverhalten und Linux
 

Das stimmt so nicht ganz, die allermeisten Distributionen benutzen den selben Kernel.

Zarniwoop

AW: Microsofts Patchverhalten und Linux
 

[QUOTE=Zarniwoop]Das stimmt so nicht ganz, die allermeisten Distributionen benutzen den selben Kernel.

Zarniwoop[/QUOTE]

dann sind es patches für von den distributoren eingesetzer zusatzsoftware, die patches für sicherheitslücken werden bei allen gleich sein (aber auch hier abhängig von den installierten zusatzpaketen und software)

AW: Microsofts Patchverhalten und Linux
 

@io - sei doch froh das es jetzt wenigstens schon automatisch geht!

Ich habe im November 99 nen Novell 3.12 Server Jahr 2000 kompatibel gemacht - ohne das ich Ahnung von Novell hatte. Da hatte ich dann 75 Pakete von Hand runter geladen - und habe dann alle Readme's durchgearbeitet - und gerätselt ob das nun wichtig ist oder net.

Das schöne an der Sache war - das ich vermutete das es da noch nen 2. Novell Rechner gibt - und daraufhin habe ich 3 mal gefragt - aber nein - man meinte es gibt nur den einen!

Naja - und im Januar wollte man arbeiten - und der Server lief auch sauber (puh - hat geklappt) nur das Drucken ging net mehr - und das war der 2. Novell Rechner - der unter nem Tisch versteckt war (in ner Ecke) und für den Drucker zuständig war. Der hat das Jahr 2000 dann net geschafft - und lief net mehr sauber. ;-)

AW: Microsofts Patchverhalten und Linux
 

[QUOTE=Zarniwoop]Das stimmt so nicht ganz, die allermeisten Distributionen benutzen den selben Kernel.

Zarniwoop[/QUOTE]

den selben wohl kaum - sonst würde z.b. bei meinem (fedora Core 4) mittels uname -r kaum ein _FC4 und bei dem suse 9.3 des nachbars ein -default hinten dran sein (was mich verwundert - suse hat doch sonst auch immer kräftig am kernel rumgepatcht)

außerdem geht es nicht nur um den Kernel, sondern wohl eher um die komplette systemumgebung

AW: Microsofts Patchverhalten und Linux
 

@io:

bei meinem gentoo linux kommen sogar weitaus mehr patches und updates raus, als für windows.
allerdings auch, weil in dieser distribution die komplette installierte software in dem updatesystem erfasst ist und aktualisiert/gepatcht wird.

AW: Microsofts Patchverhalten und Linux
 

Naja mir gings nur darum, ob eben diese Geschichte mit den Patches auch bei anderen Betriebssystem so extrem ist.

AW: Microsofts Patchverhalten und Linux
 

das problem ist denke ich auch die Vergleichbarkeit.

Ein OS wie linux hat eigentlich einen wesentlich kleineren Betriebssystemteil als z.b. MS Windows. Damit ist auch die Menge an nötigen Patches für 2. größer.

Die PAtches die unter Linux anfallen sind meistens dann für serversoftware oder Tools die mitgeliefert werden, aber eigentlich kein teil des OS sind.

wobei für den Benutzer eher die gesamtmenge an patches von bedeutung ist.


Ein kleiner erfahrungs-nerf-bericht am rande:

letzten Sonntag unter Fedora Core 4 onlineupdate gemacht und der hat bei ca 50 paketen gefrag ob er die wirklich installieren will weil keine Signatur dran ist - nein natürlich keine "für alle" schaltfläche da - sehr ärgerlich!


Gruß

tele

AW: Microsofts Patchverhalten und Linux
 

[QUOTE=tele][...]
letzten Sonntag unter Fedora Core 4 onlineupdate gemacht und der hat bei ca 50 paketen gefrag ob er die wirklich installieren will weil keine Signatur dran ist - nein natürlich keine "für alle" schaltfläche da - sehr ärgerlich!
[...][/QUOTE]

Ging yum -y update nicht?

Gruesse, kerri

AW: Microsofts Patchverhalten und Linux
 

@tele du kannst die Patches bedenkenlos aufspielen. :)

AW: Microsofts Patchverhalten und Linux
 

aber ein großer vorteil gegenüber Windows ist meiner Meinung nach, dass man unter Linux im Regelfall für Patche nicht neustarten muss (Es sei denn es sind kernel-updates :-) )

AW: Microsofts Patchverhalten und Linux
 

Natürlich gibt es in Linux auch Sicherheitslücken. Nur gibt es dort im wesentlichen folgende Unterschiede:

- Der Quelltext ist offen und die Lücken können auch von anderen als den ursprünglichen Entwicklern entdeckt und gefixt werden.

- Bei Linux lässt sich fast jede Komponente mit fast jeder anderen Komponente verwenden (weiß ich, weil ich alles (kernel, init, freetype, x11, bison, expat, flex, fontconfig, ncurses, perl, zlib, ...) von Sourcecode compiliere und dort fast alle Versionen zueinander kompatibel sind, es sei denn in der BUILD Datei sind einzelne Konstillationen explizit ausgeschlossen, was selten vorkommt), somit kann der Angreifer, wenn er zum Beispiel weiß, dass Du Kernel 2.6.11 verwendest, nicht wissen, dass Du auch expat-1.95.8 verwendest (vorrausgesetzt Du verwendest keine fertige Distribution).

- Jeder Prozess hat bestimmte Rechte, die vom Administrator explizit definiert werden können. Dabei gilt: So viele Rechte wie nötig, damit der Prozess arbeiten kann, so wenige Rechte wie möglich. Dabei wird sowohl Verschlüsselung verwendet, die wirklich sichert, als auch DRM-ähnliche Ansätze (diese haben hier den schlechten Ruf nicht, da Root wirklich die volle Kontrolle über diese Flags hat und damit kein Kopierschutz-Müll betrieben werden kann). Wenn ein Angreifer eine Sicherheitslücke in einem Prozess ausnutzen kann, hat er nur maximal die selben Rechte wie der Prozess, den er kompromittiert hat.

Kurz und knapp: Linux ist viel zu flexibel. Ein Angreifer kann sich nie sicher sein, woran er ist. Es gibt unzählige Kombinationsmöglichkeiten für grundlegende Softwarekomponenten, vor allem wenn der Kernel auch noch selbst compiliert wird. Hier sind unzählige Möglichkeiten vorhanden, wie der Anwender die Kernel an genau sein System anpassen kann, um maximale Performance und Stabilität zu erhalten. Dadurch entsteht für jede mögliche Kombination (und auch für verschiedene Plattformen, zum Beispiel i586, i686 oder 686_64) eine andere Binary, deren Routinen dann an völlig anderen Speicheradressen stehen, etc. Für einen Angreifer unüberschaubar.

Einen Unterschied, der die unterschiedlichen Sicherheitsmentalitäten deutlich macht ist die Art des Firewallings: Unter Windows sind nach Installation einer Firewall meist alle Ports geschlossen. Anwendungen fragen darauf nach Zugriffsrechten, dadurch werden einzelne Ports geöffnet. Unter Linux sind nach Konfiguration der Firewall alle Ports offen und können von jeder Anwendung verwendet werden. Einzelne Ports, von denen Gefährdungen ausgehen könnten, werden geschlossen. Die große Masse der Ports bleibt offen und kann von den Anwendungen und Systemdiensten genutzt werden. Das liegt daran, dass unter Linux offene Ports kaum eine Bedrohung darstellen, während unter Windows hartnäckig versucht wird, die Löcher quasi "möglichst großflächig zu überdecken" anstatt sie wirklich zu beseitigen (die kurieren die Symptome, nicht die Krankheit).

AW: Microsofts Patchverhalten und Linux
 

@qndre Trifft das auch auf den für Linux geschriebenen Virus in Form eines Email Anhanges zu? Oder nur für den Hacker, der versucht in dein Netzwerk einzubrechen?

AW: Microsofts Patchverhalten und Linux
 

Ich habe bisher noch nichts von einer Antiviren-Software unter Linux gehört und gehe deshalb davon aus, dass diese Viren keine wirkliche Bedrohung unter einem gut konfigurierten Linuxsystem darstellen. Man hört zwar immer wieder vereinzelt von Fällen, in denen Viren in Linux-Systemen auftauchen, aber unter Linux ist das Virenschreiben gottseidank noch "eine Kunst". Das heißt es gibt nicht diese Möglichkeiten, sich zum Beispiel fertige Backdoor-Trojaner aus dem Internet zu laden und jemandem zu schicken. Es gehört noch viel Programmierarbeit und Erfahrung dazu. Und erfahrene Entwickler entwickeln selten Viren sondern verbessern lieber die Qualität der Software. :)

Außerdem ist das Gefährdungspotenzial eines Email-Virus unter Linux stark von den Rechten des Email-Programmes abhängig. Sorgfalt bei der Konfiguration gehört also wirklich dazu. Wenn ich mir einfach nur "Linux draufklatsche", weil es für mich einen Windows-Ersatz darstellt und mich nicht wirklich mit den Details des Systems beschäftige laufe ich auch hier eine ziemliche Gefahr.

Bei den in meinem letzten Post beschriebenen Punkten handelt es sich aber eher um das Eindringen in den Rechner durch Ausnutzen von Sicherheitslücken in eigentlich nicht bösartiger Software (Browser, etc.) oder durch Methoden wie Buffer-Overflow, etc.

Ein Problem gibt es bei verseuchten Email-Anhängen aber tatsächlich. Da der Entwickler Deine Hardware nicht kennt, kann er Dir auch keine passende Binary für Dein System schicken. Er kann seinen Virus für ein weit verbreitetes System compilieren, zum Beispiel für i686. Wenn er dabei nicht viele Systemcalls verwendet wird es auch auf vielen Systemen (z.B.: verschiedenen Distributionen, Kernels, etc.) lauffähig sein. Nur eben auch wieder nicht auf allen. Darum ist der Quelltext bei Linux-Software auch so unabdingbar. Es geht nichts über "frisch compilierte" Software, die für das System optimiert ist. Linux bietet dafür viele Anpassungsmöglichkeiten, zum Beispiel die "USE" Variable unter Gentoo.

Das höchste Gefährdungspotenzial ist immernoch ein unversierter Anwender. Wenn ich die ganze Zeit mit Root-Rechten auf meinem Rechner rumballere, ist das natürlich nicht sehr sicherheitsbewusst. :inflames:

[IRONIE] Und wer sich auf Linux zu sicher fühlt, kann sich ja mit WINE die neuesten Windows-Viren emulieren. :roll: [/IRONIE]

AW: Microsofts Patchverhalten und Linux
 

[QUOTE=Qndre]

- Bei Linux lässt sich fast jede Komponente mit fast jeder anderen Komponente verwenden (weiß ich, weil ich alles (kernel, init, freetype, x11, bison, expat, flex, fontconfig, ncurses, perl, zlib, ...) von Sourcecode compiliere und dort fast alle Versionen zueinander kompatibel sind, es sei denn in der BUILD Datei sind einzelne Konstillationen explizit ausgeschlossen, was selten vorkommt), somit kann der Angreifer, wenn er zum Beispiel weiß, dass Du Kernel 2.6.11 verwendest, nicht wissen, dass Du auch expat-1.95.8 verwendest (vorrausgesetzt Du verwendest keine fertige Distribution).

[/quote]

So flexibel ist es auch nicht. Es gibt einen Haufen Programme und libs, die bestimmte Versionen anderer Programme und libs vorraussetzen.
Außerdem ändert sich in den unterschiedlichen Versionen ja nicht der komplette code, so daß die Codebasis und die Schnittstellen, somit auch die Angriffsfläche relativ gleich bleibt.

[quote]
- Jeder Prozess hat bestimmte Rechte, die vom Administrator explizit definiert werden können. Dabei gilt: So viele Rechte wie nötig, damit der Prozess arbeiten kann, so wenige Rechte wie möglich. Dabei wird sowohl Verschlüsselung verwendet, die wirklich sichert, als auch DRM-ähnliche Ansätze (diese haben hier den schlechten Ruf nicht, da Root wirklich die volle Kontrolle über diese Flags hat und damit kein Kopierschutz-Müll betrieben werden kann). Wenn ein Angreifer eine Sicherheitslücke in einem Prozess ausnutzen kann, hat er nur maximal die selben Rechte wie der Prozess, den er kompromittiert hat.
[/quote]

Das ist prinzipiell bei Windows auch mögliche. Es wird nur dadurch torpediert, daß 99% alle Windows-Heim-User als admin werkeln.

[quote]
Kurz und knapp: Linux ist viel zu flexibel. Ein Angreifer kann sich nie sicher sein, woran er ist. Es gibt unzählige Kombinationsmöglichkeiten für grundlegende Softwarekomponenten, vor allem wenn der Kernel auch noch selbst compiliert wird. Hier sind unzählige Möglichkeiten vorhanden, wie der Anwender die Kernel an genau sein System anpassen kann, um maximale Performance und Stabilität zu erhalten. Dadurch entsteht für jede mögliche Kombination (und auch für verschiedene Plattformen, zum Beispiel i586, i686 oder 686_64) eine andere Binary, deren Routinen dann an völlig anderen Speicheradressen stehen, etc. Für einen Angreifer unüberschaubar.
[/quote]

Die Kommunikationsmechanismen und dadurch die Angriffspunkte bleiben trotzdem die gleichen. Man kann ja nicht für jeden Kernel neue, angepasste Software schreiben. Die API´s bleiben die gleichen!

[quote]
Einen Unterschied, der die unterschiedlichen Sicherheitsmentalitäten deutlich macht ist die Art des Firewallings: Unter Windows sind nach Installation einer Firewall meist alle Ports geschlossen. Anwendungen fragen darauf nach Zugriffsrechten, dadurch werden einzelne Ports geöffnet. Unter Linux sind nach Konfiguration der Firewall alle Ports offen und können von jeder Anwendung verwendet werden. Einzelne Ports, von denen Gefährdungen ausgehen könnten, werden geschlossen. Die große Masse der Ports bleibt offen und kann von den Anwendungen und Systemdiensten genutzt werden.
[/quote]

Das kommt ja wohl auf die einzelnen Firewalls selber drauf an. Die SuSEFirewall2 blockt nach der Installation z.B. erstmal alles, bis sie was anderes gesagt bekommt.
Shorewall lässt sich nichtmal aktivieren, ohne, daß man die Configdateien ändert.

[quote]
Das liegt daran, dass unter Linux offene Ports kaum eine Bedrohung darstellen, während unter Windows hartnäckig versucht wird, die Löcher quasi "möglichst großflächig zu überdecken" anstatt sie wirklich zu beseitigen (die kurieren die Symptome, nicht die Krankheit).[/QUOTE]

Was heisst keine Bedrohung? Ich kann dir mal meine sshd logs zeigen, wenn wieder jemand 5 Stunden lang die Standard Namens-und-Passwort-SSH-Loginscripts drüberlaufen lässt.

Es ist nicht Aufgabe einer Firewallhersteller Softwarefehler im System zu beseitigen. Also ist es wohl klar, daß sie einschlägige Ports sofort blocken wollen. Aber was können die Firewallentwickler dafür?

AW: Microsofts Patchverhalten und Linux
 

[QUOTE=Qndre]Ich habe bisher noch nichts von einer Antiviren-Software unter Linux gehört
[/quote]

siehe ClamAV

[quote]
Bei den in meinem letzten Post beschriebenen Punkten handelt es sich aber eher um das Eindringen in den Rechner durch Ausnutzen von Sicherheitslücken in eigentlich nicht bösartiger Software (Browser, etc.) oder durch Methoden wie Buffer-Overflow, etc.[/quote]

Und weils so schön passt ;-)

[url=http://www.heise.de/security/news/meldung/64024]Pufferüberlauf im ClamAV[/url]

[quote]
Da der Entwickler Deine Hardware nicht kennt, kann er Dir auch keine passende Binary für Dein System schicken. Er kann seinen Virus für ein weit verbreitetes System compilieren, zum Beispiel für i686. Wenn er dabei nicht viele Systemcalls verwendet wird es auch auf vielen Systemen (z.B.: verschiedenen Distributionen, Kernels, etc.) lauffähig sein. Nur eben auch wieder nicht auf allen.
[/quote]

Ein standard i386 compiliertes Binary sollte auf 80-90% aller Linuxkisten laufen. Ein Virus braucht keine Anpassungen, die 90% der Kompatibilität rauben um 0,1% mehr Geschwindigkeit zu bekommen.

[quote]
Darum ist der Quelltext bei Linux-Software auch so unabdingbar. Es geht nichts über "frisch compilierte" Software, die für das System optimiert ist. Linux bietet dafür viele Anpassungsmöglichkeiten, zum Beispiel die "USE" Variable unter Gentoo.
[/quote]

Dann hast du deine Software für dein System optimiert. Standard Binarys laufen trotzdem noch.

AW: Microsofts Patchverhalten und Linux
 

[QUOTE=_Smash_]Dann hast du deine Software für dein System optimiert. Standard Binarys laufen trotzdem noch.[/QUOTE]
Wirklich? Das heißt ich kann ne Application, die für ne Distri entwickelt worden ist, auf meinem Eigenschraub-Linux rennen lassen, wenn es sich nicht grade um eine Systemkomponente handelt?

AW: Microsofts Patchverhalten und Linux
 

Ja. Es gibt auch Closed Source Software für Linux. Z.B. den Teamspeak Client.
Die würden ja dann auch nirgends laufen.

AW: Microsofts Patchverhalten und Linux
 

Gut zu wissen. :) Thx 4 Info.