Der Mythos vom schnellen Patch
Die Meldungen der letzten Wochen über den Umgang mit Sicherheitslücken in Open-Source-Produkten werfen ein schlechtes Licht auf Entwickler und Distributoren. Bislang versicherten sich Open-Source-Anhänger gegenseitig die Überlegenheit ihres Entwicklungsmodells mit dem Spruch "Wenn die Lücke gemeldet wird, ist der Fix schon da." Schwachstellen würden offen diskutiert und schnellstens beseitigt -- lange bevor sie jemand ausnutzen kann. Bei Closed-Source müsse man ewig auf einen Patch warten.
Doch ein Blick hinter die Kulissen offenbart manchmal ein ganz anderes Bild. Gerade Vorzeigeprojekte wie der Linux-Kernel und der Web-Browser Mozilla behandeln Sicherheitsprobleme wie die großen Hersteller kommerzieller Software: Deckel drauf und möglichst lange nichts nach außen dringen lassen. Dennoch sickern Informationen nach draußen -- leider oft auch in die fälschen Hände. Die daraus resultierende Situation ist dann für den Anwender weitaus schlechter, als wenn man die Schwachstelle gleich öffentlich diskutiert hätte.
So auch im aktuellen Fall des uselib()-Bugs im Linux-Kernel, der zunächst nur auf der geschlossenen Mailing-Liste der Linux-Distributoren Vendor-Sec diskutiert wurde. Offenbar lasen auch Blackhats die Meldungen auf der Liste mit, unter anderem einen Proof-of-Concept-Exploit. Und während die Distributoren noch diskutierten und verschwiegen an Patches bastelten, studierten andere bereits den Exploit, mit dem man Root-Rechte auf dem Server erhält. Anwender und Administratoren bekamen von all dem nichts mit und konnten auch keine Vorsorgemaßnahmen treffen, bis jemand den Exploit öffentlich verfügbar machte. Wie viele Root-Kits in der Zwischenzeit schon heimlich installiert wurden, bleibt ungeklärt.
Das Konzept, Informationen zurückzuhalten, ist auch in den Augen von Linus Torvalds gescheitert, der sich sogar mit einer offenen, unbeschränkten Sicherheits-Mailing-Liste anfreunden könnte. Vom derzeiten Konzept würden ohnehin nur Blackhats profitieren, meint Brad Spengler vom Linux-Sicherheitsprojekt grsecurity.
Mitunter werden die Open-Source-Anwender auch gar nicht über Lücken informiert. So dokumentierte die Mozilla-Foundation beim Erscheinen von Mozilla 1.7.5 eine im Newsreader beseitigte Sicherheitslücke nicht. Erst nachdem Dritte Details darüber veröffentlichten, machten die Entwickler den Eintrag in der Fehlerdatenbank zugänglich. Mit der vollständigen Offenlegung von Lücken, auch Full Disclosure genannt, und deren schneller Behebung wollte sich die Open-Source-Gemeinde einst von den Herstellern kommerzieller Closed-Source-Software abgrenzen. Nun aber scheint es so, als würden sie in deren Fußstapfen treten: Die Revolution frisst ihre Kinder.
Ein Kommentar von Daniel Bachfeld heise Security
