Neue Sicherheitslücken in Open Source-Software

Diskussion um Software-Sicherheit wird neu angefacht

Obwohl Sicherheitslücken in Microsoft Windows die größte Aufmerksamkeit erregen, haben Sicherheits-Experten diese Woche zwei Lücken in Open Source-Software gefunden. Die schwerwiegendere betrifft Sendmail, ein Open Source E-Mail-Server.

„Es ist ein sehr schwerwiegender Fehler“, so Dan Ingevaldson von Internet Security Systems in Atlanta. „Die Sicherheitslücke könnte möglicherweise von Hackern ausgenutzt werden“, so Ingevaldson weiter. Eine andere Sicherheitslücke in Open SSH, das für verschlüsselten Remotezugriff auf Netzwerke verwendet wird, erweist sich in der Praxis wohl als weniger gefährlich. Es könnte jedoch auch hier möglicherweise zu einem Angriff kommen. Der Fehler tritt vor der Authentifizierung auf, das heißt ein Angreifer bräuchte gegebenenfalls keine Zugangsrechte, um die Sicherheitslücke auszunutzen.

Die Lücken traten ans Licht der Öffentlichkeit, als Warnungen über Angriffe auf die letzte Woche in Windows bekannt gewordenen Sicherheitslücken geäußert wurden. Auch die Diskussion über die Sicherheit von kommerzieller im Vergleich zu Open Source-Software wird dadurch weiter angefacht. „Es gab jedes Jahr genauso viele Sicherheitslücken in Open Source-Software wie in Microsoft Produkten“, so Ingevaldson. „Es ist zwar schwierig, die beiden Lager direkt miteinander zu vergleichen. Dennoch nutzen beide ähnliche Entwicklungstools und haben ähnliche Schwierigkeiten, den Überblick über mehrere Millionen Codezeilen zu behalten.“

Themenseiten: Software

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen Lesen Sie ZDNet-Artikel in Google Currents ZDNet-App für iOS

Artikel empfehlen:

Neueste Kommentare 

23 Kommentare zu Neue Sicherheitslücken in Open Source-Software

Kommentar hinzufügen
  • Am 22. September 2003 um 14:12 von Sven Putze

    das ist einer der Vorteile von OpenSource
    Der Code ist einsehbar und viele Leute können ihn kontrollieren und Sicherheitslücken entdecken. Programmierer sind Menschen und machen nunmal Fehler, nur wie leicht diese Fehler zu finden sind, macht den entscheidenen Unterschied.

    • Am 22. September 2003 um 14:55 von tb

      AW: das ist einer der Vorteile von OpenSource
      Open Source ist nicht nur ein Vorteil, Programmierfehler zu finden und zu beheben… auch Hacker können den Source-code sehen, und so ohne probleme Sicherheitslücken ausnutzen.

    • Am 22. September 2003 um 14:58 von tb

      AW: das ist einer der Vorteile von OpenSource
      Open Source hat nicht nur den VORTEIL Programmierfehler zu finden und zu beheben… auch Hacker können den Source-code sehen, und so ohne probleme Sicherheitslücken ausnutzen. Hoffen wir dass Sie in Zukunft die Fehler finden, bevor dies die Hacker tun.

    • Am 23. September 2003 um 3:26 von Sly

      AW: das ist einer der Vorteile von OpenSource
      fullack……….gehört jetzt eigentlich nicht zum Thema, aber z.B mußte ich heute mal 2 Monitore an ein Linuxsystem anschließen. 2 Sizungen gestartet + jeder konnte für sich arbeiten – soweit alles bekannt.
      Jetzt war aber die Suche nach einer guten Kamera angesagt – der eine schrieb gerade ein Kommentar – und auf dem anderen Monitor haben wir einfach das Fenster geteilt, einer hat gegoglet(Maus), der andere hat unter Stiftung Warentest nach den besten Digicams geschaut(SC über Tastatur). Also 3 Leute aktiv an einem! Rechner………..wie gesagt, gehört nicht zum Thema, aber ich kann die ganzen Linux-Ignoranten einfach nicht mehr lesen…………..weil genau die, die am lautesten schreien, noch NIE mit Linux gearbeitet haben!!!
      Ansonsten wird jede erkannte Sicherheitslücke ratzfatz gefixed und nicht – siehe M$ – solange unter Verschluß gehalten, bis es einen Patch gib (oder den Patch eines Patches…………..läßt sich beliebig fortsetzen)

      cu

      Sly

    • Am 23. September 2003 um 3:34 von Sly

      AW: das ist einer der Vorteile von OpenSource
      fullack……….gehört jetzt eigentlich nicht zum Thema, aber z.B mußte ich heute mal 2 Monitore an einen! Linuxrechner anschließen. 2 Sizungen gestartet + jeder konnte für sich arbeiten – soweit alles bekannt.
      Jetzt war aber die Suche nach einer guten Kamera angesagt – der eine schrieb gerade eine Mail einschließlich Bildbearbeitung – und auf dem anderen Monitor haben wir einfach das Fenster geteilt, einer hat gegooglet(Maus), der andere hat unter Stiftung Warentest nach den besten Digicams geschaut(SC=Shortcuts über Tastatur). Also 3 Leute aktiv an einem! Rechner………..wie gesagt, gehört nicht zum Thema, aber ich kann die ganzen Linux-Ignoranten einfach nicht mehr lesen…………..weil genau die, die am lautesten schreien, noch NIE mit Linux gearbeitet haben……
      Nur mal so nebenbei, was Multitasking (Multiusing) wirklich bedeutet.
      Zurück zum Thema:
      Bei Open-Source wird jede erkannte Sicherheitslücke ratzfatz gefixed und nicht – siehe M$ – solange unter Verschluß gehalten, bis es einen Patch gib (oder den Patch eines Patches…………..läßt sich beliebig fortsetzen)

      cu

      Sly

    • Am 23. September 2003 um 3:36 von Sly

      AW: das ist einer der Vorteile von OpenSource
      fullack……….gehört jetzt eigentlich nicht zum Thema, aber z.B mußte ich heute mal 2 Monitore an einen! Linuxrechner anschließen.

      2 Sizungen gestartet + jeder konnte für sich arbeiten – soweit alles bekannt.

      Jetzt war aber die Suche nach einer guten Kamera angesagt – der eine schrieb gerade eine Mail einschließlich Bildbearbeitung – und auf dem anderen Monitor haben wir einfach das Fenster geteilt, einer hat gegooglet(Maus), der andere hat unter Stiftung Warentest nach den besten Digicams geschaut(SC=Shortcuts über Tastatur).

      Also 3 Leute aktiv an einem! Rechner………..wie gesagt, gehört nicht zum Thema, aber ich kann die ganzen Linux-Ignoranten einfach nicht mehr lesen…………..weil genau die, die am lautesten schreien, noch NIE mit Linux gearbeitet haben……
      Nur mal so nebenbei, was Multitasking (Multiusing) wirklich bedeutet.

      Zurück zum Thema:
      Bei Open-Source wird jede erkannte Sicherheitslücke ratzfatz gefixed und nicht – siehe M$ – solange unter Verschluß gehalten, bis es einen Patch gib (oder den Patch eines Patches…………..läßt sich beliebig fortsetzen)

      cu

      Sly

    • Am 23. September 2003 um 3:48 von Sly

      sorry für 3x denselben Kommentar…………
      und das Schärfste, es funktioniert immer noch…………….lol……….

  • Am 22. September 2003 um 15:58 von kein Politiker

    Nobody is Perfekt
    – – – Nobody is Perfekt – – –

    Weder die Open Source Systeme noch Windows Systeme sind 100%ig ohne Fehler und das wird es auch wohl kaum anders werden selbst wenn die ganze Welt den Quellcode liest.

    Jeder der etwas macht, macht Fehler, wer keine Fehler macht der hat auch noch nie etwas gemacht.

    – – – Nobody is Perfekt – – –

  • Am 22. September 2003 um 21:18 von egal
  • Am 23. September 2003 um 0:07 von Kein Closed Sorce Fan

    RE: Neue Sicherheitslücken in Open Source-Software
    bei Closed Source kann außer der Entwicklerfirma niemand den Code einsehen und ändern. Wenn folgliche Fehler/Löcher bekannt werden ist man auf den „Großmut“ und „goodwill“ der Entwicklerfirma angewiesen. Und wenn die das Produkt nicht mehr supporten – oder gar pleite gegangen sind? Dann leben wir mit den bekannten Fehlern/Löchern bis zum Sankt Nimmerleinstag. Das ist doch vieeeel besser.

    • Am 23. September 2003 um 8:42 von Jack Stern

      AW: RE: Neue Sicherheitslücken in Open Source-Software
      Eigendlich läuft auf den meisten Rechnern Windows oder? Und warum? Weils halt am weitesten Verbreitet ist. Open source…schön und gut…du kannst aus den Baukasten Linux dein Wunschsystem rausgrabschen aber wer hat da wirklich lust dazu außer Vollprofis und PC-Freaks? Ich will jedenfalls keinen PC haben, wo ich erst mit Programmierkenntnissen in meinem Betriebssystem etwas reißen kann. Außerdem will ich nicht, das irgendein Linux-Hacker (ja die gints auch, das wird auch zu oft verniedlicht) in meinem PC rumpfuscht und ich es erst merke wenns zu spät ist! Microsoft hält genau aus 3 Gründen ihren Source so unter verschluss: 1.)Man will ja Geld verdienen und nicht welches Verlieren indem man Windows in kleine Häppchen zerteilt und Umkrempelt. 2.)Für Windows hat man ein System, wo alle eingeifen können: Homeuser, genau so wie Büroleute oder PC-Freaks! 3.) Nicht zuletzt weil der Ansturm von Viren heut so Groß ist, das MS selber nicht nachkommt. Stellt euch mal bitte Windows, das meist genutzte Betriebssystem,als Open Source vor…wer von euch würde da im Web überleben außer die Vollprofis? Von den Bedingngen sind alle mit Windows im Netz gleich. Bei Linux würde der dominieren, der das schönste System zusammengebastelt hat. Und der würde auch sicherlich tun können was er will, einschließlich euern PC zu kleinschrott verarbeiten!

  • Am 23. September 2003 um 0:36 von BT

    Es gibt keine sicheren Betriebssysteme
    Es ist eine Illusion und es wird eine Illusion bleiben. BS müssen um arbeiten zu können kommunizieren und da gibt es dann auch Lücken, die man immer wieder aufreisst und welche die so utopisch sind, dass man sie vernachlässigen könnte. Das Problem ist wie man damit umgeht. Während MS selbst die Berichterstattung darüber verbieten möchte und mehr als einmal Kunden im Regen stehen ließ, sowie seine Produkte maximal 3-5 Jahre überhaupt unterstützt, gibt es Betriebssysteme die regelmäßig gepflegt werden, die man mit ein bischen Aufwand ohne große Zusatzkosten up to date halten kann und die auf Grund ihrer Anlage sicherer sind. Gemeint ist nicht nur Linux auch Unix oder Solaris sind in dieser Beziehung besser strukturiert. Die OpenSource Bewegung sollte aber nicht die gleichen Fehler wie Gates machen und die Probleme vertuschen und verniedlichen. Es gibt viel Arbeit, packen wir es an.

    BT

  • Am 23. September 2003 um 8:31 von Björn

    Der Vergleich hinkt
    MS: Betriebssysteme (nur noch W2000/XP, da W98/Me abgekündigt), Office-Palette.

    Open-Source: Versch. Linux-BS und mehrere tausend verschiedene Programme.

    Da wird eine ganze weltweite Entwickler-Gemeinde mit einer unüberschaubaren Anzahl von Programmen mit einem Hersteller verglichen, der aktuell vielleicht 6-8 wichtige Produkte anbietet (BS, Server-BS, Office). Ein normales Windows-System (ab 100 Euro)ist dermaßen nackt, dass man außer surfen nichts damit anfangen kann. Eine Linux-Distribution für 50 Euro enthält eine Unmenge an Software für fast jeden Bereich.

    • Am 23. September 2003 um 8:47 von Jack Stern

      AW: Der Vergleich hinkt
      Unmengen von Software, wo die meisten Normalnutzer nix mit Anfangen können weil man erst in den Tiefen von Linux rumschrauben muss. Ja ok Microsoft Systeme sind etwas nackt aber wieso? Ver verbietet denn, dass Programme wie Internet Explorer und Media Player auf zukünftigen Windows Systemen zu findne sind? Außerdem kaufst du bei Linux die Katze im Sack! Bei Microsoft bekommst du lizensierte Software, wo eine ganze Entwicklerarmee hintersteht!

    • Am 23. September 2003 um 15:14 von Spencer

      AW: AW: Der Vergleich hinkt
      Alos die „Katze im Sack kaufen“, dass geschieht bei Windows, bei Linux liegt der Quellcode offen, wie der Name Open-Scoure ja auch schon sagt.

    • Am 23. September 2003 um 15:16 von Spencer

      AW: AW: Der Vergleich hinkt
      Also die „Katze im Sack kaufen“, dass geschieht bei Windows, bei Linux liegt der Quellcode offen, wie der Name Open-Scoure ja auch schon sagt.

    • Am 23. September 2003 um 15:42 von tk

      AW: AW: AW: Der Vergleich hinkt
      Den meisten Linux Jüngern könnte man doch einen großen Kommentar an die Sicherheitslücke im Source Code schreiben und Sie würden den Wald vor lauter Bäumen nicht sehen…

    • Am 24. September 2003 um 0:39 von Sly

      AW: AW: AW: AW: Der Vergleich hinkt
      Hast du je eine Linux-Distribution auf deinem PC installiert…………..ich kann diesen Quatsch von Leuten wie dir nicht mehr ertragen, denn entweder seid ihr stinksauer über eures verschwendetes Geld an M$ und deren kundenverachtende Sicherheitspolitik oder aber du hast EINMAL versucht, Linux zu installieren und bist schon beim partitionieren gescheitert, spätestens aber bei der Einrichtung (kompilieren, sogar bei den der .exe-Datei ähnlichen RPMs versagt?) eines beliebigen Programms
      Und schiebst dann deinen ganzen Frust auf das BS bzw. auf Leute, die lernen wollen.

    • Am 25. September 2003 um 14:59 von schneck

      AW: AW: AW: Der Vergleich hinkt
      OK, Du hast Recht, man hat den Source-Code.
      Meine Frage an Dich … – hast Du Dir den schon mal angeschaut ???
      Könntest DU den Fehler finden ???
      Wenn Du mich fragst, ist z.B. der Kernel-SourceCode( ausser vielleicht für den CCC oder einige wirkliche Gurus) "praktisch" nutzlos.
      Ideologisch bin ich auch von OpenSource fasziniert, die praktische Auswirkung ist aber teilweise sicher auch hinderlich, wenns keine einheitliche Richtung gibt. Sie Dir doch mal die Autos an – kannst Dich noch dran erinnern, dass Citroen vor 20 Jahren den Blinker rechts hatte und nicht links … – unvorstellbar ? – Nein, Herstellerfreiheit !
      Und genauso glaub ich ist es mit OpenSource – Keine Frage, dass da einige absolut geniale Programme entstanden sind – aber wenn ich mir dann wiederum ansehe, dass auf 10 verschiedenen Unix.-Derivaten nicht mal die einfachsten Befehle (ls, etc.) standardmäßig das gleiche machen wunderts mich nicht, dass Windows boomt !
      Vom Anwender-(Um)Schulungsaufwand für Linux mal ganz zu schweigen …

      P.S.: Bin ein "alter" Hase der EDV und mit UNIX-Derivaten "aufgewachsen" …

  • Am 23. September 2003 um 12:24 von Thomas Müller

    Sind doch gefixt…
    Im Gegensatz zur Windows Welt sind
    die Fehler inzwischen durch Online Updates
    behoben.

    Niemand bestreitet, dass OSS Fehler hat,
    aber die Fixes sind 100 mal schneller
    verfügbar als bei Microsoft

  • Am 23. September 2003 um 13:07 von Harald Raufer

    Open Source vs MIcrosoft
    Kann schon sein, das es genauso vieleSicherheitslücken gibt, aber wie schnell gibt es Microsoft-Patches im Gegensatz zu Open Source-Patches. Außerdem muss ich für OPEN SOURCE keinen Pfennig an Lizenzgebühr bezahlen. Wenn Microsoft Geld verdienen möchte, dann sind Sie auch dazu verpflichtet fehlerfreie Software zu liefern und den User nicht als Testkandidaten zu missbrauchen

    • Am 24. September 2003 um 8:49 von maximus

      AW: Open Source vs MIcrosoft
      … na den Patch, der den Blaster verhindert hat, gab’s im Gegensatz zu Linux bereits 4 – 5 Wochen bevor Blaster überhaupt kam.

  • Am 26. September 2003 um 10:08 von Sönke Dohrn

    Verschiedene Agendas
    Hallo zusammen,

    warum Sicherheitslücken bei Microsoftprodukten die Gemüter so erregen, aber bei OpenSource die meisten Verständnis zeigen, ist doch schon merkwürdig.
    Vielleicht liegt es daran, wie sich Microsoft gibt (und wieviel es nimmt vom Kunden) im Gegensatz zu OpenSource.

    Seid mir aber klar geworden ist, dass beide "Hersteller" versuchen, ein vernünftiges Produkt abzuliefern, bin ich nicht mehr ganz so aggressiv gegenüber Fehlern in Microsoftprodukten. Ich denke, daß das Problem auch daran liegt, dass MS eine große Vermarktungsmaschine betreibt, die den Programmierern die Richtung vorgibt, sprich dieses und jenes Zusatzprogramm muss rein, dass diese und jene Information ausliest, damit dieses und jenes mehr oder weniger richitge Marketingziel erreicht wird.

    Man sollte unterscheiden und anerkennen, dass die Programmierer beide Lager versuchen, ein sehr gutes Produkt abzuliefern. Jedoch aber das Ziel und die Agenda unterschiedlich sind, wodurch halt die verschiedenen Ansichtsweisen her resultieren.

    Ich habe jetzt mehr Verständnis für Fehler in Microsoftprodukten, was nicht heisst, dass ich das gut finde. Jedoch finde ich mittlerweile die UpdateFunktion in Windows recht gut, auch wenn die autmatische Abfrage zum Glück ausgestellt ist. Es gibt nämlich andere Anbieter, die einfach nur in einer Readme-Datei auf eine Webaddresse verweisen, was nun wirklich nicht kundenorientiert und benutzerfreundlich ist.

    Abschliessen ist zu sagen, dass ich leider noch immer Schwierigkeiten habe, Worddokumente (.doc, .rtf) in OOorg zu importieren. Schade, dass das noch nicht klappt, denn so muss ich MS Office aus Kompatiblitätsgründen weiterbehalten.

    Sorry, daß ich nicht haargenau mich zum Thema geäußert habe. Ich hoffe, das geht in Ordnung.

    MfG

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *