'Schlimmer als Heartbleed': Große Gefahr durch neue Linux-Lücke

Die Entwickler von Red Hat Linux sind auf eine schwerwiegende Sicherheitslücke in der Bash-Shell von Linux aufmerksam geworden, die angeblich eine noch größere Gefahr darstellen könnte als der vor einigen Monaten aufgetauchte sogenannte ... mehr... Shell, Unix, Bash, Shellshock, Bash Shell, Linux Shell Shell, Unix, Bash, Shellshock, Bash Shell, Linux Shell Shell, Unix, Bash, Shellshock, Bash Shell, Linux Shell

Diese Nachricht vollständig anzeigen.

Jetzt einen Kommentar schreiben
 
Ich seh schon, demnächst bestehen unsere Nachrichten nur noch aus solchen Angriffs- und Leak-Meldungen. :-/

Aber wieder mal eine Bestätigung meiner Aussage, dass Open Source nicht per se sicherer oder besser ist als Closed Source.
 
@HeadCrash: Doch ist es, denn nur durch den freien Code konnte die Lücke durch dritte ausfindig gemacht werden und dementsprechend schnell gehandelt werden. Letztendlich wurde das Problem innerhalb 24 Stunden gelöst und konnte auch von dritten gefixt werden, da keine Abhängigkeit durch den Entwickler besteht.
 
@knirps: Du setzt grade voraus, dass diese "Dritten" nur gutes im Sinne hatten und es direkt gemeldet hatten.
Das mag JETZT der Fall sein, aber niemand kann sagen, wie lange dieser Fehler schon "bekannt" ist nun ausgenutzt werden kann.

Bei Closed Source finden sich solche Lücken für Angreifer einfach schlechter. Dafür finden es halt auch Leute die "helfen" wollen schlechter.

Kurz um....keines ist besser als das andere, was die Sicherheit angeht. Anders, aber nicht besser.
 
@Draco2007: Dritte sind alle unter anderem Distributoren welche Sicherheit eigentlich hoch im Kurs haben.
Bei Closed Source Software wird sehr viel träger gehandelt. Wieviele tage, woche, Monate... sogar Jahre wird nicht bei bekannten Lücken gehandelt? All das ist z.B. bei Microsoft Windows der Fall (gewesen).
 
@knirps: Und wie lange war die Heartbleed Lücke vorhanden?
Was macht es für einen Unterschied, ob eine Lücke erkannt werden KANN (aber nicht wird) und dann schnell gefixt wird, ODER eine Lücke KAUM erkannt werden kann, dann aber eher träge gefixt wird?

Es kommt doch aufs gleiche raus. Es gibt sicherheitstechnisch keinen relevanten Unterschied zwischen Closed und Open Source. PUNKT.

Wenn du natürlich die Zeit hast SELBST jede Zeile Code zu lesen und zu verstehen, DANN ist OSS sicherer. Aber die Denke "Wird schon jemand finden" ist schon bei Heartbleed voll in die Hose gegangen.
Und grade bei sicherheitsrelevanten Dingen ist die Menge von Menschen, die die Probleme verstehen und sogar lösen können wirklich begrenzt.
 
@Draco2007: Sie wäre warscheinlich bis heute nich gefunden worden, wenn closed source. unerträglich was passiert wäre, wenn sie ausgenutzt worden wäre und sich die Entwickler Zeit lassen dies zu fixen.
Es kommt nicht auf das gleiche raus. Opensource beutetet meistens schnelles handeln, wenn akut. Darin liegt auch das Vertrauen: Viele Menschen überprüfen den Code. Was meinst du wie viele Entwickler Mozilla auf die Finger schauen. Nur auf dieser Basis kann ich Mozilla erst vertrauen, oder auch Chromium (nicht Chrome).
 
@knirps: Dritte sind vor allem "Hacker", keine Distributoren. Die nehmen das Zeug 1:1 und fertig ist die Kiste.
 
@TurboV6: Das stimmt so nicht. Distributoren stecken auch eigene Entwicklungen rein. Gerade Debian, die ihren Code ziemlich genau unter die Lupe nehmen, was auch der Grund für den großen Versionsrückstand dieser Distri ist.
 
@knirps: Du glaubst wohl selbst nicht, dass jeder bei Debian das 4-Augen-Prinzip einhält. Und die wenigsten Distris machen alles selbst. Die Gefahr, dass eine Lücke sich durch ALLE Systeme zieht ist enorm!
 
@knirps: "Viele Menschen schauen auf den Code" und trotzdem blieb Heartbleed JAHRELANG unentdeckt.

Ich sags nochmal: Die Menge an Menschen, die sicherheitsrelevante Probleme VERSTEHEN und LÖSEN kann, ist extrem begrenzt. Das kann nicht jeder Dödel, der mal Hello World programmiert hat.

Und ja unter Closed Source wäre Heartbleed bis heute vermutlich unentdeckt, aber die Wahrscheinlichkeit, dass jemand "Böses" die Lücke findet ist genauso gering...
 
@Draco2007: Bei ClosedSource ist aber immer der Hintergedanke dabei... war es eine Lücke oder war es gewollt? Die Tatsache, der der Code nicht frei ist, bietet Potential für ein Motiv. Das kann ich bei Opensource auch haben, allerdings ist das Risiko ein anderes.
 
@Draco2007: der Unterschied ist aber - finde ich - dass Open Source oft nicht so professionell durchgeführt wird, wie eben professionelle Software, wo Firmen dahinter haften. Dementsprechend sind wichtige Teile mit aufwändigen Tests hinterlegt; das seh ich bei Open Source enorm selten - wenn überhaupt Unit Tests. Das ist eine zusätzliche Gefahr. Da kannst Du lesen wie Du willst. Systeme verändern sich und wenn keiner merkt, dass durch einen damals korrekten Code wegen eines geänderten API-Verhaltens heute etwas unsicher ist, dann fällt das ohne Auto-Tests (fast) nie auf.
 
@TurboV6: Für dich ist ClosedSource = Professionell? Sorry, jetzt wirds aber doch etwas zynisch.
 
@knirps: Wieso ist das Risiko bei OSS ein anderes? Jeder Hans kann Code schreiben und submitten, wenn ich schlau genug bin, kann ich meine Lücke gut genug maskieren, dass sie durch ein Review (wenn überhaupt eins stattfindet) durchkommt.

Oder wird bei jedem OSS Submit eine vollständige Sicherheitsprüfung der Person gemacht?
 
@knirps: hab ich nirgends gesagt. Aber 99% von professionellem Code ist Closed Source. Aber nicht 99% von Closed Source ist professionell.
 
@Draco2007: submitten? Ist das eine neue Sprache die mir entgangen ist? Ich kann einen Code einreichen, angewendet wird dieser aber erst nach einer Prüfung. Und die größeren projekte prüfen das schon ziemlich genau.
 
@knirps: Was verstehst du an "finde ich" und "oft nicht" nicht?

Das bedeutet nach mathematischer Logik eben NICHT, dass closed Source automatisch professionell ist.
 
@knirps: Du hast glaube ich noch nie an nem großen Open Source Projekt mit gearbeitet. Da wird SELTEN das 4-Augen-Prinzip eingehalten. Ganz ganz selten. Ich hab mich schon sooo oft gewundert, dass ein vermeintlicher Fehler von mir durchgegangen ist, den ich selbst entdeckt habe. Ich hab das Gefühl, dass die meisten das überfliegen und fertig.
 
@knirps: Wie oft muss ich Heartbleed eigentlich noch erwähnen?
Was gibt es wichtigeres als das wohl verbreitetste HTTPS-Protokoll? Und die Lücke ist durch ALLE Prüfungen gerutscht.

Wo nimmst du diese Überzeugung her, dass das nicht auch bei anderen sicherheitsrelevanten OSS-Projekten passieren kann?

Tut mir leid, ich bin Informatiker und für mich ist "submit" nunmal geläufiger als "einreichen"...
 
@Draco2007: Wir reden nicht über Heartbleed. Denn könnte, müsste, würde, sollte entspricht einfach keinen Fakten. Ob und wie es sich bei Heartbleed und closed source verhalten hätte, ist vollkommen irrelevant da nicht nachvollziehbar. Nachvollziehbar ist allerdings, das in einem entschiedenem Moment, schnell gehandelt worden ist (im code).
 
@knirps: schnell gehandelt.. worauf bezieht sich der zeitliche Spielraum? Woher weißt Du, dass die Lücke nicht vor 3 Jahren schon von den Chinesen/Usa/Franzosen/Russen gefunden und ausgenutzt wurde? Reagiert wurde dann, als es public wurde. Alles davor: davon hast Du doch überhaupt keine Ahnung.
 
@knirps: Welchen Fakten? Dass in JEDEM sicherheitsrelevanten OSS Projekt IMMER zu 100% das 4 Augenprinzip beim "einreichen" von Code benutzt wird? Garantiert?

Und dabei auch GARANTIERT jede Lücke gefunden wird?

Wenn du dich darauf wirklich verlässt, bist du wirklich ziemlich naiv.
 
@TurboV6: Ich gehe von dem Zeitraum des bekanntwerdens beim Entwickler/der öffentlichkeit aus.
 
@Draco2007: Habe ich so nicht behauptet, gehe ich nicht näher drauf ein.
 
@Draco2007: er hat vermutlich noch nie an einem Team-Projekt gearbeitet evtl. noch nicht mal in der Entwicklung selbst ;-)
 
@knirps: Und genau das ist der Fehler. Wenn du einen Fehler/Lücke darauf reduzierst, wie schnell sie gefixt wird, NACHDEM sie öffentlich bekannt gegeben wurde, dann hast du natürlich Recht, dann ist OSS aufgrund der großen Communities wirklich "sicherer".

Aber du lässt da einfach einen wichtigen Faktor außer Acht. Wie einfach ist es für Gut UND Böse einen Fehler zu finden. Und es IST einfacher einen Fehler in OSS zu finden und dann auszunutzen OHNE es zu melden, weshalb der Anreiz hier für böse Menschen einfach höher ist.
 
@Draco2007: Finden und ausnutzen ist bei closed source genau so möglich. Du warst doch der jenige der meinte des es bei CS mit reverse engineering leichter wäre.
 
@knirps: Nochmal mathematische Logik...

Ja es ist auch bei CS möglich, ABER ich habe nirgendwo gesagt es wäre LEICHTER. Code lesen ist "simpel". Aber die exakte Funktion einer Software nur aus dem Verhalten zu schließen ist verdammt schwer, vor allem wenn es darum geht Lücken zu finden.

Die Stelle wo ich gesagt habe es sei leichter zeigst du mir mal bitte.
 
@knirps: was keine Logik macht. Denk mal nach.... Bei Closed Source hast Du nur die Möglichkeit per RE an Lücken zu kommen. Bei Open Source beides; die Angriffsfläche und der Anreiz ist viel höher / einfacher.
 
@Draco2007: Ich zeig grad mit dem Dinger drauf, siehste es? :P
Zitat von dir weiter unten
"Und eins sollte klar sein, eine Lücke in offenem Code zu finden ist wesentlich schwerer als über reverse Engineering.."
 
@TurboV6: Du hast dem falschen geantwortet, das war nicht meine Aussage.
 
@knirps: Öhm, auch wenns jetzt blöd klingt...das war ein Typo... ^^
 
@knirps: Deine Idee, dass Open Source durch das Möglichst-Viele-Augen-Prinzip besseren Code produziert als Closed Source, spiegelt sich in der Realität leider nicht wieder. Sowohl bei der Fehlerzahl, wie auch bei der Zeit bis zum Patch ist den Statistiken nach Microsoft seit Jahren unter den führenden Anbietern. Siehe zum Beispiel http://tiny.cc/u1tqmx oder http://tiny.cc/hcxqmx.
 
@Draco2007: Jap, klingt blöd :P
 
@knirps: also in [re:7] dachte ich, dass du eingesehen hättest, dass es zwischen closed und open source keinen sicherheitstechnisch wirklich relevanten unterschied gäbe. aber du hast dich leider doch drumrum gewendet und willst dann plötzlich von bösen motiven etc. sprechen. was du da also machst ist nichts weiter als spekulation und im schlimmsten fall eine unterstellung. dass aber eine firma, die gewinnorientiert ist, ein gewisses vertrauen genießen muss, ist dir wohl entgangen. denn schlechten ruf kriegt man ganz leicht, während man sich guten erst erarbeiten muss. inwiefern kannst du also "von großer sicherheit" ausgehen (hast du zwar so nicht gesagt, aber spekulationen so selbstüberzeugt aufzustellen betrachte ich jetzt einfach mal so ;) ), dass closed source tatsächlich eher schlechte motive hat?
außerdem kommt ja noch hinzu, dass du bei fertig kompilierten opensource code doch auch nie wirklich sicher sein kannst, mit welchem quellcode nun wirklich kompiliert wurde. eine firma wie red hat z.b. ist auch "gewinnorientiert". wenn du also schon anderen gewinnorientierten firmen solche motive unterjubeln willst, dann musst du das auch bei opensource tun! dir bleibt dann nur noch alles selbst zu kompilieren. aber hey, es gibt leute, die haben einen computer um zu arbeiten..

dann, dass OSS angeblich sicherer wäre, weil mehr drübergucken. also wie kann man hier den argumenten von Draco2007 und TurboV6 bloß entgehen und nicht wahrhaben wollen?!
naiv ist tatsächlich zu glauben, dass das so wie du behauptest in der praxis gemacht wird. heartbleed ist ein gutes beispiel. dann wendest du dich aber wieder und schreibst etwas von "aber bei großen OSS projekten wird dies und jenes gemacht". naja, siehe argumente von den beiden anderen hier. und was soll "bei großen" überhaupt heißen? also kann man die kleinen in die tonne treten..

du schreibst außerdem: "Denn könnte, müsste, würde, sollte entspricht einfach keinen Fakten. Ob und wie es sich bei Heartbleed und closed source verhalten hätte, ist vollkommen irrelevant da nicht nachvollziehbar."
so, da wurd ich nochmal stutzig. denn weiter oben bist du selbst auf spekulationen aus und behauptest, dass ein handeln bei heartbleed so wie bei opensource, bei closed source nicht ablaufen würde. komisch, jetzt sagst du, dass es nicht nachvollziehbar wäre. und noch, was nicht nachvollziehbar ist, ist, dass du behauptest, dass bei closed source eher schlechte motive dahinterstecken. passt genauso wenig zu deiner jetztigen behauptung.

also wenn ich mir schon was schönreden und nicht wahrhaben will, weil ich bloß einer bestimmten ideologie nachlaufe, dann würde ich aber zumindest versuchen konsistent zu bleiben. ;)

aber von all dem mal abgesehen... wie kann man sich den argumenten von Draco2007 und TurboV6 bloß so widerstreben?!
(weder von dir, noch von irgendeinem anderen hab ich je ein argument gehört, dass die sachlichen argumente der beiden hier auch nur ankratzen würde...)
 
@knirps: enormer Trugschluss. Die Option des Lesens ist zwar da: aber für beide Seiten. Der Anreiz mit einer Lücke aber profit zu schlagen ist viel höher als Sicherheit zu verbessern. Also wer liest den Code? Vor allem Leute, die einen Profit aus einer Lücke schlagen können. Und das sind meist nicht die guten.
 
@TurboV6: Bei Opensource ist schwer Geld zu machen, da die meisten Projekte chronisch Pleite sind ;)
 
@knirps: was hat das jetzt damit zutun?
 
@TurboV6: Das kein Geldgeber da ist. Von jemanden Geld zu bestechen, der keins hat, führt zu nix. Irgendwann kommt alles raus und dann wirds gefixt.
 
@knirps: versteh immer noch nicht, was Du (aus)sagen willst.
 
@TurboV6: Ich führ keine Doppeldiskussion mit dir, oben gehts weiter.
 
@knirps: TurboV6 will sagen, wenn ich eine Lücke finden kann, mit der ich beispielweise irgend einen Server "hacken" kann und Daten abgreifen kann, die ich teuer verkaufen kann, dann ist dies ein Anreiz nach einer Lücke zu suchen.

Und eins sollte klar sein, eine Lücke in offenem Code zu finden ist wesentlich leichter als über reverse Engineering..
 
@Draco2007: ich habe ihn schon sehr genau verstanden.
 
@knirps: Für was sollte ich die Hersteller ausnehmen, wenn ich große Unternehmen die mehr Geld haben ausnehmen kann?!
 
@knirps: es gibt Firmen die Stellen Studenten ein die Quellcodes lesen sollen. Die sollen Fehler suchen. Denkst Du die geben das an die Hersteller weiter? Mit Sicherheit ;-) Mit solchen Leuten sind "Bundestrojaner" und Co erst möglich. Fehler müssen in der Szene selbst gefunden und dann geheim gehalten werden. Dann machst Du Kohle - nicht anders. Das ist der Anreiz.
 
@TurboV6: Nochmal: Ich führe keine Doppeldiskussion mit dir, oben gehts weiter.
 
@knirps: das ist also die Antwort, wenn Du keine Antwort hast. Bravo.
 
@TurboV6: Einfach oben weiter schreiben, dann bekommste auch ne antwort.
 
@knirps: Das ist wohl nur in einer Traumwelt so... "The 22-year-old bug, dating back to version 1.13, lies in Bash's handling of environment variables: when assigning a function to a variable, trailing code in the function definition will be executed, leaving the door wide open for code-injection attacks. The vulnerability is exploitable remotely if code can be smuggled into environment variables sent over the network – and it's surprisingly easy to do so." Wir reden hier von einem 22 Jahren alten Bug!!!!!! Er wurde nach 22 Jahren von den guten entdeckt. Ob er nicht schon länger von den "nicht guten" ausgenützt wird, wer weiß es. Und durch Open Source gibts unzählige verschiedene Versionen. MacOSx hat noch den Vorteil, dass sie ein Hersteller sind, und mit einem Patch können sie das auf all ihren Geräten ausbessern. Wenn man allerdings alle Linux Distros und Varianten zusammenzählt...
 
@Tintifax: Es ist kein Bug, hast du dich mit dem Thema befasst?
 
@knirps: Es IST ein Angriffsvektor der seit 22 Jahren besteht...ob du es als Bug, Lücke oder beschissenes Coding bezeichnest ist doch völlig wurscht.
 
@knirps: Its not a bug, its a feature?
 
@Tintifax: Sowie ich diesen Fall verstehe, ist das tatsächlich der Fall. Ich stecke in der Materie aber auch so tzief nicht drin.
 
@knirps: Ein Feature, mit dem ich auf einem fremden Rechnern das ausführen kann was ich will...?
 
@Tintifax: nennt sich Remote control :P
 
@knirps: Und damit die NSA sich nicht soviele Passwörter merken muss, gleich für alle? ;)
 
@Tintifax: Da die großen Unternehmen alle den Code an die NSA weiter leiten, ist für diese eh alles opensource...
 
@knirps: Dann hätte man diese Bash Feature doch nicht benötigt?
 
@Tintifax: Wie ich bereits sagte, ich steck so tief in der Materie nicht drin. In benötigt oder nicht, da fehlt mir die Kompetenz für.
 
@knirps: Nein, ist es nicht.

Denn zum einen ist diese Lücke wahrscheinlich schon seit ewigen Zeiten in der Bash Shell. Würde jeder ständig den Code begutachten und auf Schwachstellen prüfen, wie viele Verfechter von Open Source es allen weismachen wollen, wäre diese Lücke schon viel früher gefunden worden.

Und zum anderen birgt der frei verfügbare Code genauso das Risiko, dass sich Kriminelle auf die Suche nach Schwachstellen machen, allerdings nicht um sie zu beheben, sondern um sie auszunutzen. Das ist bei Open Source z.B. deutlich einfacher möglich, als es das bei Closed Source ist.

Punkt 1 zeigt, dass mit Open Source zwar theoretisch die Möglichkeit besteht, solche Probleme zu finden, dies in der Praxis aber oft, z.B. auch aus wirtschaftlichen Gründen, nicht gemacht wird. Und Punkt 2 zeigt, dass die Offenheit eben auch Nachteile mit sich bringen kann.
 
@HeadCrash: Jetzt sag nicht, das Open Source nicht schon so oft durchgeprüft worden ist, das die hunderttausende Prüfer den Code fast schon auswendig können !
Da(s) wird schließlich tagtäglich geprüft !
Da drückt sich nie jemand drum, weil alle immer genug Zeit dafür haben wollen !
Da wird sich nie einfach drauf verlassen, das da gewiss jemand und schon vor einem selber geprüft hat, man also ruhig ein ..zwei..viele Male aussetzen darf, beim seine Open Source Begeisterung zeigen. Nein nein, das macht jeder schön für sich alleine / tagtäglich selber !
Seit über 20 Jahren ist / läuft das so !!11!1
 
@knirps: dein erster teil ist unsinn, lücken werden zumeist - und auch diese hier - nicht durch einen code Review gefunden und die Aufdeckung hat damit rein Garnichts mit der Offenheit des codes zu tun.
Lustigerweise zeigt das auch genau eins wie headcrash auch schon schrieb...dein angesprochener Vorteil besteht zwar - hatte hier aber offenbar über jahre keinen Effekt (übrigens das gleiche auch beim heartbleed)

Dein zweiter teil ist zwar grundsätzlich korrekt, allerdings sind in diesen 24h i.d.R. keine aufwändigeren kompatibilitätstests und ähnliches enthalten...bis der code angepasst ist meist nirgendwo das was zeit benötigt.
...sondern die tests, welche wie man zeigt nötig wären denn die rausgegebenen patche der distris scheinen wohl müll zu sein
 
@knirps: Jip. So sieht es aus.
 
@HeadCrash: Teile ganz deine Meinung.Es gibt nichts,was wirklich sicher ist.Leider wird das auf ewig so weiter gehen.An das "Flicken" haben wir uns ja schon gewöhnt.
 
@HeadCrash: "Aber wieder mal eine Bestätigung meiner Aussage, dass Open Source nicht per se sicherer oder besser ist als Closed Source."

ach ja? wie viele sicherheitslücken werden für windows gefunden und wieviele für linux. welche schwachstellen werden tatsächlich ausgenutzt? es ist leicht, son schwachfug zu schreiben. linux bleibt per se sicherer, als andere betriebssysteme. für windows gibt es seit jahren einen nicht gefixten exploit, der remotecodeausführung erlaubt - gut, wenn man wf updatepacks installieren will, schlecht, wenn man nen hacker aufm system hat.

heartbleed und dieser exploit hier sind zwar schwerwiegend, aber für windows gibt es so viele expoloits, daß nicht jeder einzelne erwähnt wird, wie bei linux z.z. der fall ist. eine lücke in linux ist noch was besonderes, eine lücke in windows scheint dagegen normal zu sein.

schuld an dem dilemma ist der source code. bei unix/linux ist er frei einsehbar, und das von nicht grade wenigen leuten, mit der option auf schnelles fixen von lücken. windows ist closed source und einfach von wenigen leuten einsehbar. selbst wenn es 1000 leute wären, ist das ein bruchteil der leute, die den linux source code einsehen und fixen. DARUM ist open source sicherer!
 
@stereodolby: Da hilft es nix, zu diskutieren :) Wer "Linux bleibt per se sicherer als andere Betriebssysteme" schreibt, hat einfach keine Ahnung. Sorry, anders kann ich es nicht ausdrücken.
 
@HeadCrash: seit ich linux verwende, hatte ich keine malware mehr, die ich mir nicht selber installiert habe. surfen mit linux ist sicher. bei windows gibt es die drive by downloads, d.h. alleine der besuch einer website reicht aus, um sich zu infizieren, teilweise mit richtig bösen rootkits, wie etwa tdl4 oder tdl5.

für linux gibt es 60 malware, für windows gibt es millionen. was ist sicherer? ich hab keine ahnung? dann träum weiter in deiner windows welt. hahahaha
 
@stereodolby: oh man... keine ahnung haben und dann noch so arrogant sein.. das sind mir die liebsten.
 
@stereodolby: du vergisst dabei nur den wichtigsten punkt der deine ganze Argumentation ins absurdum führt

(sicherheits-)lücken werden i.d.R. schon längst nicht mehr durch code Reviews gefunden, das war bei heartbleed nicht so und das war hier jetzt auch nicht so und ist bei nahezu keiner lücke so...denn diese offensichtlichen codefehler sind i.d.R. schon durch Automatismen gefunden - wobei man sagen muss dass diese bei MS flächendeckend im Einsatz sind, im open source Umfeld noch lange nicht..leider. Ändert aber am grundsätzlichen punkt so oder so nichts dass die meisten lücken eben nicht mehr durch code Reviews zu tage kommen.

ansonsten liegst du auch falsch mit der "lückenanzahl" da steht Linux oder open source Programme allgemein nicht wirklich besser da wie closed source (siehe Firefox vs ie)...oder schau was eine durchschnittliche distri an security patches raushaut.

Bei Linux ist eine lücke auch alles andere als etwas "besonderes", warum diese lücken wie heartbleed oder shellshock so breite Aufmerksamkeit bekommen ist da sie so weit gestreut und gravierend sind - die sind vom schweregrad in etwa mit der blaster oder iloveyou lücke bei Windows vergleichbar (welches es in der form bei Windows schon länger nicht mehr gab aber nur eine Randbemerkung)

Aber ansich scheint mir dein generelles wissen bei dem Thema nicht gerade das breiteste
 
@0711: mag ja sein, daß mein wissen durchaus aufgefrischt werden könnte, aber... ich sags mal so, als ich mit windows surfte, war jeden 2ten tag, zumindest jede woche irgendwas mit malware aufm rechner. teilweise wußte ich, daß ich infiziert war, aber avast hat die programme nicht als malware erkannt. also half nur eine reinigung des appdata ordners, nicht alles, aber die üblichen verdächtigen ordner.

seit ich nur noch mit linux mint surfe, habe ich NIE WIEDER malware gehabt, bis auf einmal, wo ich mir von irgendeiner seite einen kernel samt trojaner installierte, was sicher nur meine eigene blödheit war, sonst nichts weiter. nichts.

geht es um gehackt werden, ist windows genauso sicher, wie linux. wer einem fähigen hacker ausgesetzt ist, wird verlieren. in diesem fall ist gar kein system sicher. aber mich interessiert, wie ich gesagt habe, nur malware, speziell rootkits und da habe ich mit linux die besten erfahrungen gemacht. wollt ihr mir meine erfahrung absprechen? langsam wirds echt lächerlich hier.
 
@stereodolby: wo will dir jemand deine Erfahrungen absprechen welcher art auch immer? Das einzige lächerliche ist was du da versuchst zu konstruieren dass dir das jemand absprechen will, du hast davor einfach nur scheinbar von was geschrieben wovon du keine Ahnung hast und darauf wurde geantwortet.

Dass du mit Linux gute Erfahrungen gemacht hast, freut mich...war auch gar nicht mein punkt und auch nichts wovon du zuvor geschrieben hast - zumindest wäre es mir nicht aufgefallen und ich habe es dementsprechend auch nicht beachtet.
 
@0711: ach, dann entschuldige. das kam bei mir so rüber. sorry.
 
@HeadCrash: Im Gegensatz zu Microsofts NSA-Lücke ist das doch Pille-Palle. Wieviele nutzen Linux? 3 Prozent? WIndows 90 Prozent? Niemand regt sich mehr auf wenn ihre Nachrichten unter Windows Dauergefiltert über NSA-Server laufen. Verdrehte Welt, oder? Dafür wird es auch in 100 Jahren keinen Patch geben. Versprochen!
 
@Pia-Nist: Linux hat auf dem Desktop aktuell so um die 1,8%, Windows ca. 93%. Abgesehen davon sind die gravierendsten NSA-Hacks, die Daten über die Infrastruktur oder Basisprotokolle abgreifen, unabhängig vom Betriebssystem. Irgendwer hat hier mal einen Link zu einem sehr interessanten CCC-Video gepostet, in dem einige der NSA-Dokumente gezeigt wurden. Fast alle hatten als Target sämtliche Betriebssysteme gelistet. Vor Infrastruktur-Hacks ist nämlich niemand sicher, solange wir nicht unsere gesamte Kommunikation absichern, was wir aufgrund des Aufwandes nicht tun.

Und zu dem unterschwelligen Hintertür-Vorwurf in Richtung Windows sag ich nix. Das ist schon zu genüge diskutiert worden. Beweise gibt es immer noch keine. Also lassen wir das doch endlich.
 
@HeadCrash: http://www.heise.de/tp/artikel/39/39499/1.html

Da muss man gar nicht so viel suchen, MS gibt das mittlerweile selbst zu. Aber natürlich wurde so dazu gewzungen^
 
@Pia-Nist: Na, wir sind doch schon längst weiter. Natürlich gibt MS Daten bei berechtigter Anfrage durch die Bundesbehörden heraus. Genau wie jedes andere Unternehmen. Das bedeutet aber nicht, dass es generelle Zugriffe durch die Behörden gibt.

MS tut ja derzeit alles, um sich bei der eigenen Regierung unbeliebt zu machen. Und ich hoffe immer noch, dass sie damit durchkommen und das zu einer generellen Bewegung bei den amerikanischen Unternehmen führt, so dass diese vielleicht mal genauer sagen können, was nun gelaufen ist. Aber abgesehen davon glaube ich, dass kaum ein System so unter Beobachtung und auf dem Prüfstand steht, wie Windows dies tut. Wenn sich also tatsächlich Hintertüren darin befinden würden, wäre irgendetwas davon den vielen Gruppen wie dem CCC aufgefallen.
 
@HeadCrash: Wenn der CCC alles wüßte, bräuchten wir keinen Snoden. Google, Apple, Facebook, alle großen börsenorientierten Unternehmen die weltweit aggieren reagieren erst mal genervt auf solche Anschuldigungen. Was jetzt geschieht ist Schadensbegrenzung. Ich sehe das nüchtern, realistisch und mittlerweile ist bekannt das man in Amerika für ein bisschen Geld auch gerne mal konkurierende Unternehmen im Ausland auslauschen darf. Früher hätte man sowas nicht mal aussprechen dürfen, heute sind wir nicht mehr so naiv.
 
Mit Linux wäre das nicht passiert.... moment...
 
@knirps: Eigenlich ist Linux nur der Kernel, und die Bash gehört eigentlich nicht zum Kernel.
Also genau genommen ist es kein Linux-Bug
 
@basti2k: Das legen sich die Linuxjünger auch immer aus, wie sie es gerade brauchen. Mal beschreibt Linux das Synonym für ein ganzes System basierend auf den Kern, in diesem Fall ist es natürlich nur der Kern...
 
@knirps: Na klar wenns um Sicherheit geht wird bei Linux nur der Kernel gezählt während bei Windows der Kernel, die GUI, Internet Explorer und am besten noch Flash dazu gezählt wird. So klappt es auch einfacher mit der Argumentation.
 
@Lex23: Könnte vielleicht daran liegen, dass man außer dem Kernel vieles anders machen kann...Bash shell Korn shell, anderer Paketmanager..blub bla...
Das ist alles Distributionsabhängig.
Versuch das mal bei Windows...deswegen wird auch bei Windows mehr dazu gezählt.

Ich meine, eine Java Lücke ist auch kein Windows Bug, oder? ;)
 
@staatiatwork: Wird aber immer wieder unter den Windows-Lücken gelistet :) Genau wie Treiber-Lücken, IE-Extension-Probleme etc.

Letztlich halte ich es für wurscht, wie die genaue Abgrenzung ist. Der Anwender sieht nur sein komplettes System und fängt nicht an zu überlegen, ob diese oder jene Komponente nun streng genommen zum Betriebssystem gehört oder nicht. Daher werden bei Windows all diese Dinge eben mitgezählt und daher wird bei Linux auch die Bash mitgezählt, weil es wahrscheinlich auch die mit Abstand am meisten genutzte Shell ist.
 
@knirps: Bleibe doch mal sachlich. Beleidigen muss man ja nun auch nicht, nur weil hier Tatsachen angesprochen werden. Ich finde du solltest den Text noch mal lesen bevor du anfängst zu trollen.
 
@Pia-Nist: Ich habe niemanden beleidigt.
 
@basti2k: Richtig. Es gehört nicht zum Kernel, ist aber als Quasi-Default des GNU Userlands in fast jeder Linux-Distribution mit drin.
Dennoch ist dieser Bug nicht nur auf Linux beschränkt. Unter Windows gibt es schon Updates für bash in den Cygwin-Repositories, aber für das uralte bash in Git for Windows sehe ich noch kein Update.
bash ist auch Bestandteil von OS X und auch hier muss man noch auf einen Patch warten.
 
@knirps: Lies den Artikel! Die Lücke ist nicht im Linux-Kernel enthalten sondern der bash-shell, das sind zwei verschiedene Projekte. Tatsache ist dass die Lücke von einem der grössten Linux-Distributoren gefunden wurde. Wieder mal schlecht gewählter Titel... I love bashing....
 
@pengo: Linux hat sich einfach für Gnu/Linux eingebürgert....titel gewählt wie es normalerweise verwendet wird...im negativfall wird daraus aber immer eine haarspalterei
 
@knirps: hehe. Es freut mich fast, dass auch mal andere ihr Fett wegbekommen, die bei entsprechenden Windows-Leaks das Maul nicht zu bekommen.
 
@knirps: ich bin linux fan, das gebe ich zu. windows hat den vorteil, ein system zu sein, das "aus einem guß" ist, das heißt, die windows programmierer kommunizieren sicherlich ihre arbeit, während linux von vielen verschiedenen programmierern programmiert wurde, die sich möglicherweise nicht so viel erzählen. linux besteht also aus sehr vielen verschiedenen komponenten, wo kaum einer sagen kann, wie die im zusammenspiel einer distribution zusammen agieren. das is halt der nachteil von linux, den ich sehe. so kann komponente a z.b. in komponente b einen fehler verursachen, den beide parteien nicht gesehen haben.

hier hilft nur erfahrung und schnelles fixen der probleme, was wiederum der vorteil von linux systemen ist.
 
@stereodolby: gerade diese "breite" bei Linux scheint ja hier bei shellshock ein großes Problem zu werden...
 
@0711: also, mein system ist bereits gefixt.
 
@stereodolby: Meinst du den fix über den heise hier unter dem punkt unwirksamer patch schreibt?
http://www.heise.de/newsticker/meldung/Bash-Luecke-ShellShock-ist-noch-nicht-ausgestanden-2403607.html

Aber auch hier scheinst du eh nicht zu begreifen worauf ich mich bezog...
 
@0711: ach, unwirksam? ich hab leider nicht so viel zeit mir das gesamte internet reinzuziehen. aber danke für den hinweis. ich bezog das update über den update manager.
 
Diese "Lücke" ist kein Bug, existiert seit gefühlt 20Jahren und wird gerne auch sinnvoll verwendet. Sicher kann das auch exploided werden, wenn man den Spass mit root-Rechten verzsieht. Bzw. wer betreibt denn bitte CGI mit bash und root Rechten?
Davon ab ist das "Problem" bereits narrensicher gepatched.. insofern man sein System aktuell hält.
> bash: Warnung: test: ignoring function definition attempt
> bash: Fehler beim Importieren der Funktionsdefinition für »HelloWorld«
 
@erso: wie viel Linux-Helden prahlen immer, dass sie ihr System seit 26 Jahren nicht neu starten mussten? Kannst mir erzählen was Du willst; aber auch bei Linux lässt sich 90% nicht Live patchen. Dementsprechend sind die Systeme "gehärtet".
 
@TurboV6: Bei Linux lässt sich sehr viel patchen ohne das System neuzustarten. Einzelne Komponenten müssen freilich neugestartet werden, aber das System doch eher selten.
 
@TiKu: pfff. ich kenne nur KSplice (kommerzielle Red Hat Lösung) mit dem sich sicherheits-relevante Patches ohne Restart einspielen lassen. Patchen von nem Tastaturtreiber; ja kein reboot. Aber sicherheitsrelevantes muss (~90%) auch bei Linux mit einem Neustart erfolgen.
 
@TurboV6: Sorry, aber da liegst du leider etwas falsch! Die 90% stimmen vermutlich, aber in eben 90% der Fälle bedarf es kein Restart des Systems...
 
@TurboV6: Du hast da leider den Überblick verloren. KSlice ist für das live updaten von Kernel Modulen, nicht für normale Software. Bash ist eine normale Software und der Patch greift sofort nach dem einspielen. Und ja ich weiß das ganz genau denn ich habe gestern erst 3 Server und 2 PCs mit dem Patch versorgt und vorher/nachher Tests gemacht.

Unter Linux ist ein Neustart des Systems wirklich nur in Ausnahmefällen nötig, so zB wenn der Kernel gewechselt werden soll, oder ein neuer Grafikkartentreiber eingespielt wird. Es gibt sicherlich noch ein paar wenige andere Situationen in denen ein Neustart von Nöten ist, aber das kommt wirklich nicht oft vor. Ansonsten ist es ausreichend das entsprechende Programm / den entsprechenden Dienst einmal neu zu starten, oder im Falle der Desktop Umgebung sich einmal aus und wieder einzuloggen.
 
Es ist wirklich interessant diese Entwicklung zu sehen. Vor 5-10 Jahren war Microsoft immer in der Kritik und regelmäßig kamen meldungen über schwere Sicherheitslücken bei Microsoft. Und immer kamen die Kommentare: Mit Linux / iOS wäre das nicht passiert. Aber auch schon damals kam immer das Argument, wenn man natürlich nur 1-2% Marktanteil hat, interessiert es Hacker recht wenig und sicherheitslücken werden gar nicht erst gesucht. Tja, scheint so, als ob das stimmt.
Denn in letzter Zeit ist es recht ruhig geworden um Sicherheitslücken bei Windows, wohl auch, weil man dort genug Zeit hatte, zu lernen. Jetzt wo die Marktanteile von Linux und iOS drastisch gestiegen sind, werden dort auch die ganzen Sicherheitslücken entdeckt, die es vor 5-10 Jahren teilweise auch schon gegeben hat.
 
@FatEric: Mit Android ist der Markt regelrecht überschwemmt mit dem Linux Kernel, das Interesse daran ist dementsprechend größer. Wenn Bash auch, soweit ich weiß, kein Bestandteil von Android ist.
 
@FatEric: "Denn in letzter Zeit ist es recht ruhig geworden um Sicherheitslücken bei Windows."
Auf winfuture war es schon immer ruhig um Windows-Sicherheitslücken:
http://www.silicon.de/41595810/windows-8-hat-meisten-sicherheitslecks/
 
@gutenmorgen1: Gemessen an den gestopften Lücken, was sich dahingehen relativiert das Windows 8 das OS mit der höchsten Aufmerksamkeit bei MS ist, da das aktuellste. Wenn ich mich recht entsinne ist das bei nahezu allen neuen Windows Versionen der Fall gewesen.
 
@gutenmorgen1: Nunja, das liegt aber größtenteils tatsächlich nicht an Windows. Ich zitiere mal aus Deinem Link:

"Dennoch stellt Secunia auch fest, dass 76 Prozent aller Verwundbarkeiten von den Produkten von Drittherstellern stammen – wie etwa im Fall von Adobes Flash. Damit seien es meist “Nicht-Microsoft”-Programme und Anwendungen, die für Unternehmen die größten Sicherheitsrisiken bergen, so Secunia."
 
@HeadCrash: Das bedeutet aber im Umkehrschluss, dass ein nacktes Windows 8 37 schwere Sicherheitslücken mitbringt.
 
@gutenmorgen1: Jepp. Zeig mir auch nur ein System, das garantiert keine Sicherheitslücken hat und ich zeige Dir den Sinn allen Lebens ;-)

Es gibt kein komplexes Stück Software, das 100% fehlerfrei ist, denn diejenigen, die diese Software schreiben und sie testen, sind fehlerbehaftet. Das muss man akzeptieren.

Viel wichtiger ist daher die Frage nach dem Schweregrad der Lücken und vor allem der Geschwindigkeit, mit der sie geschlossen werden. Und selbst diese beiden hängen unweigerlich zusammen. Eine nicht gravierende Lücke für die es vielleicht sogar noch einen einfachen Workaround gibt, muss nicht so schnell geschlossen werden, wie eine gravierende Lücke, die vielen bekannt ist. Eine sehr gravierende Lücke, die bisher niemand kennt, muss ebenso nicht sofort geschlossen werden. Hier kommen, zumindest bei Unternehmen, wirtschaftliche Betrachtungen zum Tragen.

Und das ist einer der wenigen Bereiche, wo ich grundsätzliche Vorteile in der Open Source-Welt sehe. Denn sie muss nicht wirtschaftlich sein. Zumindest nicht, solange es genug gute freiwillige Helfer gibt, die Probleme auch "einfach so" beheben.
 
@HeadCrash: Die Bash ist so gesehen auch eine Drittherstellersoftware :)
 
@FatEric: Naja... "schwere Sicherheitslücken". Wenn ich mir die Meldungen z.B. hier auf WF und anderswo zu diesen "schweren Sicherheitslücken" so ansehe, oder was MS selber als eine solche einstuft, ist es manchmal durchaus vergleichbar mit einem Auto mit Campinganhänger wo der rechte hintere Blinker des Anhängers, ab einer bestimmten Geschwindigkeit und bei Regen, nur noch Dauerlicht anzeigt, oder so. Vielleicht haben die Redakteure eingesehen, dass ALLE Systeme eine gewisse Fehleranzahl haben, und unterlassen mittlerweile dass hervorkramen irgendwelcher Windows-Lücken, die bei genaueren Betrachtung, eigentlich keine sind oder so gut wie gar nicht "anwendbar" sind. Ich will damit nicht sagen, dass MS gar nichts tut, oder das MS jetzt besonders sicher ist, aber einen Teil der Microsoft-Kritik führe ich eben doch auf die Meldungen selber zurück.
 
Warum ist das eine Linux Lücke? Die Bash ist eine Shell, jedoch hat die nichts mit Linux zu tun, noch ist diese Linux exklusiv. Ich bin sehr dafür Sicherheitslücken aufzuzeigen, aber wenn dann bitte richtig. Wenn ich unter Linux Firefox laufen lasse und da ne Lücke drin ist, dann ist das ja trotzdem kein Linux bug. Genau so verhällt es sich mit der Bash.
 
@Sam Fisher: weil in der normalen welt mit Linux Gnu/Linux gemeint ist
 
@0711: Ja, das könnte ich versehen wenn so etwas in einer Tageszeitung steht. Aber auf einem Technik-Portal erwarte ich mir durchaus eine differenzierung.
 
@Sam Fisher: auch in der technikwelt hat sich dieser zusammenhang/Begrifflichkeit eigentlich eingebürgert und nur wenn man explizit vom kernel spricht sagt man "Linux kernel"
 
mit der Nightly von heute wurde diese Lücke im Cyanogenmod auf Android-Geräten behoben
 
Mit Linux wäre das nicht passiert. Linux ist OpenSource, da wird so ein Fehler schnell gefunden, weil Millionen von Augen täglich den Sourcecode durchforsten. Lücken werden sofort gefunden und wenige Stunden später steht ein Update zur Verfügung .... ;)
 
@iPeople: Ironischerweise trifft genau das zu. Die Lücke wurde entdeckt von Leuten, deren Beruf es ist den Code nach Schwachstellen zu durchleuchten. Sie haben den Fehler entdeckt und der Fehler konnte binnen weniger Stunden gefixt werden. Beides wäre auch mit Closed Source möglich, aber eben nicht so schnell wie in diesem Beispiel.
 
@klarso: "Schnell" hat mir gefallen.
 
Ich kann die Einschätzung der security männchen bisher nicht ganz verstehen....hier muss man sich ja durchaus bei der konfig ein bisschen mühe gegeben haben dass, das eine Gefahr darstellt...bei heartbleed war es praktisch "Default" und genau dieser punkt macht die Tragweite des Problems meiner Ansicht nach deutlich geringer - wenngleich auch in einem entsprechenden fall die lücke selbst größere Auswirkungen hat

Der Herr Minus möge doch mal bitte seine Ansicht darlegen, erste "Netzscans" legen mir nahe dass ich richtig liege
 
Nein, Open Source ist definitiv nicht automatisch sicherer oder unsicherer als Closed Source. OSS macht aber unabhängig und schafft Freiheit und -ist- (imo) deswegen besser.
 
Microsoft hat jetzt über 12 Jahre Windows XP beständig gefixt und es werden trotzdem immer wieder neue Sicherheitslücken bekannt (Ich selbst habe in Studentenzeiten, also vor über 10 Jahren, durch Zufall eine Sicherheitslücke in Windows XP gefunden, die mir damals als studentischem Admin, der auch mal am Helpdesk aushelfen musste, viel Laufarbeit erspart hat, wenn z.B. mal wieder ein Nutzer sein Admin-Passwort vergessen hatte. Mit der war und ist es bis heute möglich einen Windows-Rechner mit hohen Rechten über ein LAN zu übernehmen, so dass ich damals nicht zum jeweiligen Prof oder wissenschaftlichen Mitarbeiter laufen musste, sondern einfach dessen Admin-Pass von Ferne zurücksetzen konnte, so dass der sich wieder als Admin einloggen konnte. Die Lücke gab es übrigens schon in Windows 2000, bei NT4 hatte ich das damals mangels altem NT4-Rechner nie getestet. Aber vermutlich funktioniert es da ebenso.).

Anderen Systemen geht es da nicht anders und schon gar nicht, wenn der Nutzer zusätzliche Mainstream-Software darauf installiert. Jede einzelne weiter verbreitete Software, die der Nutzer auf dem System installiert, ist eine Gefahr, solange der Rechner am Internet hängt und Leute, die gecrackte Software und Jailbreaks für ihre Geräte mit Internetzugang aus Tauschbörsen und von Appz-/Hackerseiten herunterladen, brauchen sich über Sicherheitslücken in regulären Programmen erst gar keine Gedanken machen, weil deren Geräte ohnehin schon von anderen Leuten administriert werden ohne das sie als Besitzer irgendetwas davon merken.

Zum konkreten Fall:

Wenn in der Windows-Shell oder der Windows-Power-Shell so ein Bug existiert, mag das ein ernsthaftes Problem sein, da die Nutzer auf aktuellen Versionen von Windows keine Alternative zu diesen beiden Tools haben und die zudem auf jedem Windows-System installiert sind.

Auf Linux sieht das anders aus. Ich habe schon seit Jahren auf meinen eigenen Rechnern keine bash mehr. Ich nutze die zsh, weil sie mächtiger und komfortabler als die bash ist und wenn bei der eine Sicherheitslücke entdeckt würde und mich das ernsthaft kümmern würde, könnte ich noch auf zig andere Shells wechseln.

Mich kümmern allerdings Sicherheitslücken nicht, da ich auf meinen Online-Systemen keine Daten liegen habe, die nicht ohnehin für die Öffentlichkeit bestimmt sind bzw. oft ohnehin problemlos von Servern im Internet herunterzuladen sind. Ich habe an einem Internetrechner noch nie auch nur meinen Namen eingetippt und Emails entschlüssele und lese ich auf einem Offline-Rechner, von dem ich die vorher verschlüsselten Antwort-Mails derzeit per Microdrive wieder zum Verschicken auf meinen Internetrechner kopiere. Für mich ist jeder Rechner der auch nur eine Sekunde am Internet gehangen hat korrumpiert und genau so wird er dann auch behandelt.

Ich wundere mich, wie lange es wohl noch dauern wird, bis die breite Masse der Leute begreift, dass Security-Updates, ausser gelegentlichen Defekten an zuvor problemlos laufenden Systemen, nichts bewirken. Bei tausenden noch vorhandenen Sicherheitslücken im System und mit jeder neu installierten Software noch steigender Sicherheitslückenzahl bringt es einfach überhaupt nichts jeden Monat eine Hand voll Lücken zu schliessen. Das ist als wenn man bei einem feinen Sieb jeden Monat eine Hand voll Löcher zuklebt und jedesmal wieder von neuem erwartet, dass man es nun endlich als völlig wasserdichten Eimer benutzen kann.

Fazit: Betriebssysteme, die aus mehreren tausend Codezeilen bestehen, werden NIEMALS in irgendeiner Weise sicher sein, wenn sie Zugang zu öffentlichen Netzwerken wie Mobilfunknetz oder Internet haben. Das Einzige was Linux-Systeme sicherer macht als Windows ist ihre geringere Verbreitung in der Bevölkerungsmasse und ihre sehr variable Softwareausstattung. Denn auf Rechnern wie meinen läuft z.B. ein Angriff über die bash ins Leere, weil ich sie gar nicht installiert habe und somit finden Hacker unter Linux ausser dem Kernel nur sehr wenig Software die wirklich jedes Linux-System mitbringt und haben so selbst unter den vergleichweise wenigen Linux-Rechnern im Internet noch Schwierigkeiten eine grössere Zahl davon mit einem Exploit erfolgreich zu hacken, da die Systeme zu unterschiedlich sind und der Exploit daher nur bei einem Bruchteil funktioniert.
 
@nOOwin: welche lücke sprichst du in deinem ersten Absatz an?

dein Fazit kann ich nicht ganz teilen, denn viele embedded Systeme und co haben schon gewisse "Standards" wie eben openssl oder oft auch bash oder busybox usw usf.. Sicher gibt es bei Linux eine gewisse vielfallt die eben wie in der Landwirtschaft besser als eine Monokultur ist aber wie in der Landwirtschaft ist es auch bei Linux, manche Komponenten haben sich sehr stark durchgesetzt und sind oft "Standard" - auch wenn du persönlich nicht betroffen sein magst sind die betroffenen Komponenten doch auf einem großen teil zu finden.
 
@0711: Er spricht gar keine Lücke an, er trollt.
 
@knirps: und selbst das macht er schlecht :)
 
@0711: >>welche lücke sprichst du in deinem ersten Absatz an?<<

Die hat die Firma Vupen wohl mittlerweile neben anderen Microsoft nicht bekannten (oder absichtlich nicht gefixten) Sicherheitslücken gleich mit Exploit im Portfolio. Wenn Du die oder eine andere Sicherheitslücke brauchst, kannst Du sie denen ja abkaufen. Ich erzähle sie nicht weiter, sonst kommt Microsoft vielleicht doch irgendwann auf die Idee sie zu fixen. ;-)

Ich wäre übrigens auch nicht betroffen, wenn ich weniger faul wäre und daher noch die bash verwenden würde. Wie gesagt: In Rechner, die bei mir am Internet hängen, kann ruhig jeder Hacker rein. Auf denen ist für Hacker nichts zu holen und wenn mal ein installiertes System durch Malware aus dem Internet ernsthaft Schaden nehmen würde, ist die Festplatte in unter 30 Minuten mit Nullen überschrieben und das System ist danach aus dem Backup direkt wieder drauf. Mich betrifft sowas also nie.
 
@nOOwin: also nur heiße luft...
 
@nOOwin: Und wieder mal hat sich das Lesen deines Kommentars nicht gelohnt. Junge was geht nur in deinem Kopf vor sich?
 
@klarso: Man sollte es mal verfilmen. Das Ergebnis stell ich mir als Kreuzung aus "Into the Wild", "Matrix", "Inception" und "Stay" vor.
 
Habe kaum Ahnung von programmieren und wusste bis heute nicht mal, dass man in der Bash Shellfunktionen über Umgebungsvariablen einfügen kann.

Wer aber einen Webserver betreibt und per CGI auf die Bash zugreifen lässt, ist zum teil selbst schuld daran! Denn per SSH kann man keine Shellfunktionen übergeben.
Debian und Ubuntu sind wohl kaum betroffen, weil diese Linux Distros die Dash als Systemshell nutzen.
Alle anderen größeren Linux Distributionen (Mageia, Arch-Linux, Suse) sind mit Sicherheitspatch bereits vor den Angriff geschützt. Auch steht es jedem Anwender selbst frei, die C-Shell zu nutzen. Gibt da auch andere kostenlose Alternativen, dass ist das schöne an openSource und Linux.
Sicherheitslücken wird es aber auch weiterhin geben, zumal viele Lücken erst durch die Unachtsamkeit, Bequemlichkeit und den fehlende Kenntnissen der Anwenders entstehen. Da nützt auch das sicherste Betriebssystem nichts.
 
@ContractSlayer: der fix ist wohl nur ein halber fix https://bugzilla.redhat.com/show_bug.cgi?id=1141597#c23
 
ohne Adminrechte - keine Party

So einfach ist das.
 
An das ungepflegte UNIX Subsystem von Windows scheint ja keiner zu denken. Da liegen noch ganz andere alte, aber gefährliche Tretminen. Auch MacOSX hat die Bash, noch dazu uralte Version. Während auf Debian, Ubuntu Fedora, RedHat, CentOS, openSUSE, usw., längst fleißig aktualisiert wird.
 
@Rumbalotte: Da kam eigentlich schon länger nichts mehr hoch?! Was gibt's denn da?

Ansonsten ist die osx bash ja gepflegt und das ist das wichtigste auch wenn apple bei sowas nicht die shcnellsten sind

Das was die genannten distris verteilen ist derzeit ein halbgarer fix
 
@0711: Über 350 UNIX Werkzeuge vom UNIX Subsystem auf Windows sind auf dem Stand von Anno Tobak. Die sehen in all den Jahren keine Sicherheitsaktualisierung. Egal wie viele Sicherheitslücken in der Zeit gefunden werden.
 
@Rumbalotte: es gab zumindest diverse Aktualisierungen...
 
@0711: Dann mal her mit den Links, wo Microsoft beispielsweise Perl und die Shells aktualisiert haben will. Sicherheitslücken in Perl oder in den Shells können jede Menge Spaß bringen. Zwar nicht für die Opfer, aber für die Angreifer.
 
@Rumbalotte: Dann mal her mit den Links die deine Behauptungen bestätigen.
 
@Rumbalotte: update für die Shell http://support.microsoft.com/kb/934322/de

ansonsten gibt es mit jeder Version ein update

du hast ja schon recht dass sicherheitslücken viel spaß bringen können aber wenn es keine hinweise oder ähnliches gibt dass hier ein sicherheitsleck besteht, was soll man dann patchen?
 
@0711: Das ist aber nicht für eine aktuelle Windows Version. Überdies ist es eben kein Update für eine der Shells, die da beispielsweise ksh und csh sind, sondern nur ein Flicken für die kaputte Posix.exe vor langer Zeit im Jahr 2007. Währenddessen für knirps: http://lmgtfy.com/?q=cve+perl Ich sah jedenfalls in all den Jahren keine Updates für Perl oder ksh oder csh via Windows Update. Während auf Ubuntu & Co die Aktualisierungen schnellstmöglich erfolgen.
 
@Rumbalotte: noch mal was soll man denn patchen wenns nix zu patchen gibt?
 
@0711: Wie wäre es die Software aktuell zu halten, oder patchen wie es Windows Fanbois so gerne sagen? Die Entwicklung ist nicht stehen geblieben, Sicherheitslücken wurden entdeckt, wie ich schon knirps am Beispiel Perl zeigte: http://lmgtfy.com/?q=cve+perl und von Microsoft gab es keine Updates via Windows Update. Mit dem UNIX Subsystem auf Windows oder kurz "SUA" ist man verraten und verkauft. Alt und abgehangen wäre die Untertreibung des Jahrzehnts.
 
@Rumbalotte: Das hast du schön gemacht

Wo ist denn jetzt etwas unter Windows betroffen? Welche konkrete lücke lässt sich unter Windows ausnutzen was du da toll rausgesucht hast? Nichts? Richtig dramatische Zustände die du da aufzeigst, wirklich...

Also im wesentlich hast du nichts zu sagen, na denn...hf
 
@Rumbalotte: Das Unix Subsystem in Windows ist tot. Das ist in den neueren Versionen von Windows meines Wissens gar nicht mehr enthalten und ich würde mal vorsichtig behaupten, dass es so gut wie niemand je wirklich genutzt hat.

Wenn man ein Unix braucht, nimmt man ein Unix und kein Windows. Notfalls in der VM. Wen wundert es denn, dass MS wenig in ein System steckt, dass nicht von ihnen ist?
 
@HeadCrash: Microsoft Windows ist ein Zombie, das ist klar so weit.
 
@Rumbalotte: Wie? Windows und das Unix Subsystem sind zwei paar Schuhe. Ich behaupte sogar, dass wahrscheinlich irgendwas zwischen 85% und 90% aller Windows-Nutzer nicht einmal weiß, dass es so ein Subsystem gibt. Und ich habe es tatsächlich noch nirgendwo tatsächlich in Nutzung gesehen. Von einigen Spielereien mal abgesehen.
Kommentar abgeben Netiquette beachten!

WinFuture Mobil

WinFuture.mbo QR-Code Auch Unterwegs bestens informiert!
Nachrichten und Kommentare auf
dem Smartphone lesen.

Folgt uns auf Twitter

WinFuture bei Twitter

Interessante Artikel & Testberichte

WinFuture wird gehostet von Artfiles