Linux 15.036 Themen, 107.107 Beiträge

News: Linux - Contra Monopole

Ubuntu: Sicherheitslücken jahrelang ungepatcht

mawe2 / 9 Antworten / Baumansicht Nickles

In vielen Ubuntu-Installationen findet sich Software mit bekannten Sicherheitslücken. Der Grund: Langzeitpflege versprechen die Ubuntu-Macher nur für einen kleinen Teil des Software-Angebots. Einige populäre Anwendungen werden überhaupt nicht gepflegt.

Quelle: www.heise.de

mawe2 meint:

Wir oft haben wir hier über die Problematik diskutiert: Ist Linux allein deswegen sicherer als propriertäre Systeme (wie z.B. Windows), weil es quelloffen ist?

Wie oft wurde dann behauptet: Ja, es ist sicherer, die Community überwacht die Quellcodes und sorgt für Abhilfe, wenn Probleme gefunden werden.

Wie oft habe ich genau dies angezweifelt?

Der Heise-Artikel zeigt, dass das pauschale Vertrauen in Windows-Alternativen wie Ubuntu keineswegs eine grundsätzlich höhere Sicherheit bietet.

Interessant ist dies vor allem deswegen, weil die c't in ihrem letzten Heft unter der großen Überschrift "Weg von Windows 10" diverse Alternativen zum Windows 10 untersucht hat. Dort werden insbesondere Chrome OS, Remix OS, React OS, OS X und Linux betrachtet. Und Linux heißt bei der c't Ubuntu. Der Artikel kommt zu dem Schluss, dass Ubuntu quasi die einzige ernstzunehmende Alterntive zu Windows 10 ist... Wunderbar!

Hinweis: Vielen Dank an mawe2 für das Verfassen der News. Diese News stammt von einem Nickles.de-Teilnehmer. Die Nickles.de Redaktion übernimmt keine Verantwortung für den Inhalt und die Richtigkeit dieser News.

Bei Nickles.de kann übrigens jeder mitmachen und News schreiben. Dazu wird einfach in einem Forum ein neues Thema begonnen und im Editor die Option "News" gewählt.

bei Antwort benachrichtigen
giana0212 mawe2 „Ubuntu: Sicherheitslücken jahrelang ungepatcht“
Optionen

Hi, Mawe2.

Nun ist es ja so, Du hackst ständig auf dem angeblich unsicheren Linuxen rum. Und versteifst Dich darauf, daß Linux genauso unsicher ist wie Windows. Es bleibt jedoch dabei, einige Vorzüge von Linux machen das System gegenüber Windows sicherer, das Thema hatten wir ja schon.

Was Du allerdings komplett außer Acht lässt: Die Möglichkeit, Linux sei nicht ganz so sicher wie geglaubt, macht Windows dadurch nicht ein bißchen sicherer. Und mir ist immer noch kein einziges verseuchtes Desktop-Linux untergekommen, und das in all den Jahren.

Software enthält immer auch Lücken, perfekte Software gibt es nicht.

Ein Irrtum dieser Zeit ist es, Glück mit Besitz zu verwechseln.
bei Antwort benachrichtigen
mawe2 giana0212 „Hi, Mawe2. Nun ist es ja so, Du hackst ständig auf dem angeblich unsicheren Linuxen rum. Und versteifst Dich darauf, daß ...“
Optionen
Software enthält immer auch Lücken, perfekte Software gibt es nicht.

Es ist aber schon ziemlich dreist, bestimmte bekannte Lücken jahrelang nicht zubeseitigen und die selbe unsichere Software weiterhin unkommentiert anzubieten.

Die Möglichkeit, Linux sei nicht ganz so sicher wie geglaubt, macht Windows dadurch nicht ein bißchen sicherer.

Darum geht es doch gar nicht.

bei Antwort benachrichtigen
Xdata mawe2 „Es ist aber schon ziemlich dreist, bestimmte bekannte Lücken jahrelang nicht zubeseitigen und die selbe unsichere ...“
Optionen

https://media-cdn.ubuntu-de.org/wiki/attachments/21/36/Schadsoftware.jpg

Gerade Canonical gibt exakt an was sie selbst betreuen oder nur vom Paketverwalter.

Die Basispakete sind nicht selten dieselben wie in Debian oder gar anderen Linux Systemen nur eben auf das jeweils andere Format der jeweiligen Distribution konditioniert.

Ubuntu bzw. Canonical kann es sowieso keinen recht machen.
Wurde doch das schnelle MacOS ähnliche Snappy Format schon im voraus  regelrecht zerrissen.

MacOs scheint die leidigen extrem verwickelten Abhängigkeiten nicht zu haben.
Jede Anwendung ist autonom, ohne zerstreute Abhängigkeiten.
Der Safari zB. kann einfach entfernt werden ohne anderes mitzureißen oder zu tangieren
und umgekehrt wieder installiert werden.

SLackWare hat nicht mal ein fettes Paketsystem, es wird da vergleichbar wie in UNIX konditioniert.

Dafür sich zu wagen ZFS anzubieten wegen (an den Haaren herangezogener?*) rechtlicher proprietärer Bedenken wurden die Ubuntu Macher harsch angegriffen.

Dabei haben die (noch viel freieren?) BSD Systeme kein Problem mit ZFS zu haben.

Aber das ist eine andere Geschichte ..

Mir ist kein anderes Linux bekannt als Ubuntu wo die frühen Alpha Versionen so gut
konditioniert sind um fast weniger Probleme zu machen als ausgereifte endgültige Systeme.

Das gilt auch für das bei mir schon fast ein Jahr laufende Ubuntu 16.04 Daily Build.

Aber zurück zum Thema:

Universe Pakete haben in meinen Ubuntus noch nie ein merkliches Problem verursacht.
Auch bisher nicht den Verdacht unsicher zu sein.

Eine Lücke muss auch das Grundsystem überwinden um wirksam zu werden.

Das ist bei Windows definitiv leichter wie Locky zeigt.

bei Antwort benachrichtigen
mawe2 Xdata „https://media-cdn.ubuntu-de.org/wiki/attachments/21/36/Schadsoftware.jpg Gerade Canonical gibt exakt an was sie selbst ...“
Optionen
Universe Pakete haben in meinen Ubuntus noch nie ein merkliches Problem verursacht.

Gute Malware sorgt dafür, dass sie nicht bemerkt wird!

In Fällen, bei denen die Erpressung im Vordergrund steht (wie bei Locky), sorgt die Malware natürlich dafür, dass sie bemerkt wird. Das Opfer soll schließlich zahlen, das muss man dem Opfer ja auch mitteilen.

In anderen Fällen kann Malware jahrelang völlig unbemerkt agieren.

Also die Aussage "ich habe nie merkliche Probleme gehabt", sagt nichts über dei Abwesenheit von Malware aus!

Gruß, mawe2

bei Antwort benachrichtigen
Xdata mawe2 „Gute Malware sorgt dafür, dass sie nicht bemerkt wird! In Fällen, bei denen die Erpressung im Vordergrund steht wie bei ...“
Optionen

Das ist absolut treffend!

Wird leider nicht selten vergessen ..

Moderne Malware kann jahrelang völlig unbemerkt agierenStirnrunzelnd
stimmt leider genau, hat weniger mit den "alten" Viren zu tun
die ja eher auf direkten Schaden des Systems aus waren.

Daran   ausnahmslos jedes   Betriebssystem so  aktuell zu halten wie es geht
führt kein Weg vorbei.

So betrachtet kann ein gerootetes Linux sich ganz normal verhalten und anfühlen.
Wird es bei der aktuellen Hardcore Malware wohl eher auch tun.

Du hast ja auch keinen Hehl daraus gemacht so Virenscanner heutzutage
keine Heilmittel mehr sind.

Ganzheitlich sind ja auch viele   mit Umsicht betriebene   Windows von
Locky nicht befallen.

Leider ist kein Betriebssystem so sicher um leichtsinnig zu werden.

Nichtmal  OpenBSD
welches als das sicherste Betriebsystem je gilt ..

http://www.tecchannel.de/server/linux/2039197/sicherstes_betriebssystem_die_neuerungen_in_openbsd_51/

2 ist wenig aber dennoch gilt:

2 <> 0         zwei ungleich null

und aktuell

http://www.linux-magazin.de/DFN-CERT-Advisories/DFN-CERT-2016-0521-OpenBSD-Eine-Schwachstelle-ermoeglicht-nicht-spezifizierte-Angriffe-Unix-OpenBSD

irgendwann trifft es jedes BS, selbst das Sicherste

Verlegen

bei Antwort benachrichtigen
Xdata giana0212 „Hi, Mawe2. Nun ist es ja so, Du hackst ständig auf dem angeblich unsicheren Linuxen rum. Und versteifst Dich darauf, daß ...“
Optionen

Keine der Sicherheitslücken hat in Linux dazu geführt per Browser und E-Mail Anhang
mal eben so systemnahen Code auszuführen?

Das wäre wie ein Kaventsmann durch die permanent Linux,
nur wegen der geringen Verbreitung,
als sicher betrachtenden Windows Foren gegangen ..

Die Welle möchte ich sehen wenn Locky ein Linux "verschlüsselt"Cool

bei Antwort benachrichtigen
gelöscht_238890 giana0212 „Hi, Mawe2. Nun ist es ja so, Du hackst ständig auf dem angeblich unsicheren Linuxen rum. Und versteifst Dich darauf, daß ...“
Optionen
Und mir ist immer noch kein einziges verseuchtes Desktop-Linux untergekommen, und das in all den Jahren.

Und woher nimmst Du die Sicherheit? Ach ich vergaß, Du hast nichts bemerkt...Zwinkernd

bei Antwort benachrichtigen
robinx99 mawe2 „Ubuntu: Sicherheitslücken jahrelang ungepatcht“
Optionen

Das Hauptproblem dürfte hier in der Tat die Kommunikation sein.

Die Aufteilung der Pakete hat sich halt kaum ein Nutzer angeschaut auch wenn sie Bekannt ist https://de.wikipedia.org/wiki/Ubuntu#Aufteilung_der_Programmpakete und das führt halt dazu das Pakete aus diesen Quellen in der Tat keine garantierten Sicherheitsupdates bekommen.

Und Gerade Universe ist da halt ein Problem aus dem Wikipedia Link

---
Der Bereich universe umfasst ein breites Spektrum an freier Software, die nicht direkt durch das Ubuntu-Team unterstützt wird. Die meisten dieser Pakete entstammen Debian unstable, werden aber in einer Ubuntu-Version nicht aktualisiert, wenn eine neuere Version des Paketes in Debian unstable vorhanden ist. Daneben gibt es ein gesondertes Team namens Masters of the Universe, das diese Pakete betreut, allerdings werden keine Sicherheits-Aktualisierungen garantiert.
---

In Debian dürften die genannten Pakete mittlerweile gefixt sein, aber sie werden halt nicht zurück übernommen.

Irgendwie sollte Ubuntu das definitiv besser kommunizieren, wobei es natürlich ein gewisses Problem ist das hier halt mehr oder Weniger einmalig Pakete von Debian übernommen werden und das halt bei jeder neuen Version und die Software bekommt dann keine Updates mehr, da sollte Ubuntu evtl. mal seine Update Politik überdenken.

Ist halt die Frage ob Ubuntu da die beste Wahl ist für Distributionen ist oder ob Rolling Release Distris nicht die bessere Wahl wären.

bei Antwort benachrichtigen
gelöscht_84526 mawe2 „Ubuntu: Sicherheitslücken jahrelang ungepatcht“
Optionen
Der Artikel kommt zu dem Schluss, dass Ubuntu quasi die einzige ernstzunehmende Alterntive zu Windows 10 ist...

So ein Krampf!

bei Antwort benachrichtigen