Wir unterbrechen das Programm aufgrund einer ..

„… dringenden Meldung.“ So heißt das ja bei Newsseiten und -sendern immer, wenn was schnell neues kommt. Bei Computern nennt man es einfach „Update“, egal ob es für Programme oder Teile des Betriebssystems ist.

Heute gab es auf den newseiten gleich wieder so eine Überschlagsmeldung:

http://www.heise.de/meldung/glibc-Dramatische-Sicherheitsluecke-in-Linux-Netzwerkfunktionen-3107621.html

Essenz: In der sehr wichtigen Betriebssystemlibrary glibc klaffte mal wieder eine dicke Lücke, die seit Jahren keiner (der es behoben haben wollte) gefunden hat. Da es sich um eine Remote-Code-Execution Schwachstelle handelt, bei der also jeder halbwegs geskillte Hacker jedes System von außen angreifen kann, ist das eine kritische Sicherheitslücke und muß entsprechend behoben werden.

Wir haben ausnahmsweise 1 Stunde nach Veröffentlichung des Patches für Fedora die Testversion der glibc eingespielt, so daß unsere Server jetzt alle sicher sind. Nur so angemerkt, falls jemand auf dumme Ideen kommt 😉

Was ich ziemlich lustig finden sind Trollkommentare wie diese hier:

Diese Kommentare haben eins gemeinsam, sie versuchen Linuxuser damit aufzuziehen, daß diese sich sicherer wägen als Windowsuser und daß auch jedem sagen. Vermutlich stört letzteres die Windowsfanboys 🙂

Wenn man sich mal ansieht, wann die Lücke „publik“ wurde und damit ist nicht der Juli 2015 gemeint, als die Lücke übersehen wurde beim Fixen von gethostbyname(), sondern gestern im Laufe des späten Abends. Kann man richtig Stolz sein auf alle Beteiligten, weil 12 Stunden später bereits Pakete für alle möglichen Distributionen vorhanden waren, die den Fehler behoben haben.

Hier bin ich der Meinung, daß Microsoft das nie in ~12 Stunden zur Installation freigegeben hätte, obwohl es so kritisch ist, da zu viele „Business“ Kunden dranhängen. Vielleicht, und das wird man leider nicht erfahren, wäre das erst unter den Teppich gekehrt worden und dann am Patchday veröffentlicht worden. Dieser Patchday ist, was mich an Windowsecurity im Nachhinein stört.

Deswegen denke ich, mit Linux fährt man besser.

18 Jahre alte Sicherheitslücke in Windows entdeckt

Einer Meldung von heise.de können wir entnehmen, daß seit 18 Jahren im IE von Windows eine Lücke klafft, die sehr leicht ausnutzbar ist:

Lücke ist 18 Jahre alt
Entdeckt haben die Lücke die Sicherheitsforscher von IBMs X-Force-Team. Die Forscher geben an, die Lücke bereits im Mai 2014 an Microsoft gemeldet zu haben, einschließlich eines funktionsfähigen Proof-of-Concept. Microsoft hat sich mit dem Patchen also ein halbes Jahr Zeit gelassen. Die Lücke klafft offenbar bereits seit 18 Jahren in Windows: Windows 95 mit dem Internet Explorer 3 ist die erste anfällige Konstellation. Mit dem IE3 hat Microsoft die VBScript-Unterstützung eingeführt.
Quelle: http://www.heise.de/newsticker/meldung/Exploit-bringt-Nutzer-aller-Windows-Versionen-in-Gefahr-2457372.html
 

Das alleine wäre aber kein Grund hier aufzutauchen 🙂 Solche Lücken gibt es dutzendweise in allen möglichen Betriebssystemen und Komponenten. Was Sie an der Meldung stören sollte ist das hier:

Microsoft hat sich mit dem Patchen also ein halbes Jahr Zeit gelassen.

Wenn ich von Linux spreche, bringe ich immer wieder den Patchday von Microsoft als Grund, wieso man Windows nicht einsetzen sollte, da es mit unter 30 Tage dauern kann, bis eine Sicherheitslücke gestopft wird. Microsoft patcht nur sehr ungern Lücken außerhalb des Patchdays, obwohl die Benutzer nach bekanntwerden einer Lücke sofort Opfer eines Angriffs werden können. Im Gleichklang mit Microsoft, finden die Kriminellen das richtig gut.

Auf Linux gibt es keine Patchdays, außer Sie als Anwender spielen Updates immer manuell ein. Davon kann ich allerdings nur dringend abraten. Sobald ein Fix bekannt ist, sollte der Patch eingespielt werden. Dabei sollte es unerheblich sein, ob irgendetwas anderes, unwichtiges daran kurzfristig zerbricht, denn die Systemsicherheit sollte Vorrang haben.  Bei Serversystemen die Webshops u.ä. laufen haben, liegt der Fall etwas anders, wobei auch hier die Sicherheit Vorrang haben sollte. Solche Server werden i.d.R. anders mit Updates versehen, da sich die Systemumgebung nicht ändern darf. Beispiel CentOS oder Redhat Enterprise Linux.

Aber für Linux Desktops gilt:  Alle zwei Stunden sollte das automatische Update laufen um asap. mit Updates versorgt zu sein.