Debian hat die meisten Sicherheitslücken

[am2]

Windoof ist bei Tschipp so sicher wie der VW Golf es in der ADAC-Zeitung einmal war. Es geht wirklich nicht darum, wie viele Lücken entdeckt wurden, sondern vielmehr darum wie viele noch nicht entdeckt wurden. Gefundener Fehler ist oft die halbe Lösung. Fefe prangert schon seit einiger Zeit systemd an (Benutzt hier jemand systmed?). Gestern habe ich dafür ein Sicherheitsupdate auf meinem Stretch installiert. Ob das die Lösung war, kann ich nicht sagen, aber es tut sich etwas.

Fehlerfreie Software wird es kaum geben. Selbst wenn der Quellcode tausenden von Reviews standhält weiß man nicht so genau, was der jeweilige Compiler damit macht. Ein Review des Assembler-Codes wäre da schon aufschlussreicher aber wer tut sich das an und wie lange dauert das? So wahnsinnig viele Assembler-Versteher, die den Code wie einen einfachen Text lesen wird es auch nicht mehr geben.

Lücken wird es immer geben. Deswegen geht es m. E. mehr darum, wie dazu Stellung genommen und wie darauf reagiert wird. Den Linux-Leuten schaue ich zwar nicht über die Schulter aber ich finde es in Ordnung, wie die Linux-Community mit Fehlern umgeht. Über Winzig-Weich und seine Lückenpolitik wollen wir hier lieber nicht diskutieren

[albundy]

Ich lese so etwas meist gar nicht oder wenn dann messe ich dem Null Bedeutung bei. Diese „Grabenkämpfe“ wird es immer geben.

[uname]

Genau. Und Fefe lese ich auch nicht.

[am2]

Es ging mir nicht vordergründig um Fefe und schon gar nicht um eine Lese-Empfehlung. War einfach nur ein Beispiel. Ob Fefe ein Grabenkämpfer mit oder ohne Grabendolch ist, soll hier wirklich egal sein.

Fehler werden nun mal begangen und mir ging es doch um den Umgang damit. Von wem wurden die vielen Lücken in Debian entdeckt? Von Winzig-Weich? Oder gab die oberste IT-Sicherheitsbehörde einen Audit in Auftrag? Oder waren es die Bajuwaren, die nun endgültig zeigen konnten, wie schlecht Linux ist? Auf wessen Empfehlung gibt es für Linux Sicherheitsupdates?

In einer so fehleranfälligen Geschichte wie Softwareentwicklung ist das Entdecken und Beheben von Fehlern eine der wichtigsten Disziplinen und ebenso wichtig ist ein offener Umgang damit. Das gelingt der Linux-Community ganz gut, finde ich.

[weshalb]

Ich habe gerade nochmals den alten Thread gelesen und festgestellt, dass sich meine Meinung dazu nicht geändert hat.

Sicherheitslücken sind oft so speziell, dass diese nur bedingt angewendet werden können. Meistens über Jahre unentdeckt.

Ein Betriebssystem, welches erschaffen wurde, um meine Daten zu stehlen, stellt für mich eine weit größere Gefahr dar. Schaue ich mir dann noch an, wer so alles an Prism beteiligt ist, frage ich mich, welche Sau hier durch's Dorf getrieben werden soll.

[ReturnToSender]

Mich beschäftigt dabei noch eine andere Frage, und zwar bezüglich der Vergleichbarkeit. Wenn Debian mit wirklich allen im Repository vorhandenen Paketen herangezogen wird, müsste man nicht dann auch Microsoft als ganzes danebenstellen:
https://www.cvedetails.com/product/36/D ... ndor_id=23 : Debian Total = 2221
https://www.cvedetails.com/vendor/26/Microsoft.html : Microsoft Total = 6077

Die Unverhältnismäßigkeit dabei, für Microsoft einfach nur willkürlich eine kleine Teilmenge zugrunde zu legen, muss doch solchen Redakteuren eigentlich bewusst sein.

[debianuser4782]

Windoof ist bei Tschipp so sicher wie der VW Golf es in der ADAC-Zeitung einmal war. Es geht wirklich nicht darum, wie viele Lücken entdeckt wurden, sondern vielmehr darum wie viele noch nicht entdeckt wurden. Gefundener Fehler ist oft die halbe Lösung. Fefe prangert schon seit einiger Zeit systemd an (Benutzt hier jemand systmed?). Gestern habe ich dafür ein Sicherheitsupdate auf meinem Stretch installiert. Ob das die Lösung war, kann ich nicht sagen, aber es tut sich etwas.

Fehlerfreie Software wird es kaum geben. Selbst wenn der Quellcode tausenden von Reviews standhält weiß man nicht so genau, was der jeweilige Compiler damit macht. Ein Review des Assembler-Codes wäre da schon aufschlussreicher aber wer tut sich das an und wie lange dauert das? So wahnsinnig viele Assembler-Versteher, die den Code wie einen einfachen Text lesen wird es auch nicht mehr geben.

Lücken wird es immer geben. Deswegen geht es m. E. mehr darum, wie dazu Stellung genommen und wie darauf reagiert wird. Den Linux-Leuten schaue ich zwar nicht über die Schulter aber ich finde es in Ordnung, wie die Linux-Community mit Fehlern umgeht. Über Winzig-Weich und seine Lückenpolitik wollen wir hier lieber nicht diskutieren

Die Anzahl noch nicht entdeckter Sicherheitslücken zB im Linuxkernel ist eine unbekannte Größe und lässt sich wohl nur prognostizieren.

Die Wahrscheinlichkeit des Auffindens dieser Lücken ergibt sich wohl nicht zuletzt aus der Summe der sich mit Linux effektiv beschäftigenden Fachleute (freiwillig, wissenschaftlich, angestellt bzw kollektiv oder einzeln) weltweit.

Ein anderer Faktor wäre die Übersichtlichkeit des zu untersuchenden Codes.
In diesem Zusammenhang wurde "Wireguard" von Linus Torvalds wegen seiner Übersichtlichkeit gelobt. https://linuxnews.de/2018/08/linus-torv ... wireguard/

Interessant wäre auch die Verteilung der aufgefundnen Sicherheitslücken innerhalb des modularen Linuxkernels.

Ebenso die Sicherheitslückenverteilung bei denjenigen Kernelmodulen, welche eine unmittelbare Schnittstelle zum Internet bilden, auch im Vergleich zu den anderen Modulen.

So könnte man das Augenmerk auf diejenigen Module richten, wo der Code besonders komplex und unübersichtlich ist, wo aber im Vergleich zu den anderen Modulen relativ weniger Lücken entdeckt wurden.
Solche Bereiche wären dann - vorausgesetzt eine unmittelbare Schnittstelle zum Internet bildend - besonders sicherheitsrelevant.

Gibt es diesbezüglich schon Visualisierungen?

[am2]

(...) Sicherheitslücken sind oft so speziell (...)

Ich nutze den Signal-Messanger. Da gab es vor einiger Zeit eine Lücke, die spanische(?) Programmierer entdeckt haben. Es ging um das Einschleusen und Ausführen von üblem Code wenn das und das eintrifft, was wiederum eintreffen kann, wenn der Beschmutzer... blah, bläh... OK. Ich habe alles aufmerksam gelesen, mir die Code-Passagen angeschaut und bin genau so "schlau" wie vorher. Zwei Tage später kam ein Update mit der Bekundung der Fehlerbehebung.

[reox]

Ich verstehe diese Seite nicht. CVEs werden nicht bei den Produkten gezählt sondern auch bei Distributionen? Ja schon klar aber man muss halt unterschieden ob ein CVE für das Produkt gilt oder in einer speziellen Ausprägung für die Distribution. Müsste man mal schauen ob die das auch richtig machen.
zB mal willkürlich eine: https://www.cvedetails.com/cve/CVE-2018-1000637/ wird gelistet für Debian und Zutils.
diese hier: https://www.cvedetails.com/cve/CVE-2018-16509/ listet Debian, Ubuntu, Redhat und Ghostscript.
oder hier: https://www.cvedetails.com/cve/CVE-2018-15126/ diesmal nur Debian und nichtmal libvnc?

Jetzt ist die Frage: Woher kommt die hohe Anzahl an CVEs in Debian? Hat Debian einfach mehr Pakete als Ubuntu und Redhat? Oder werden CVEs von Ubuntu und Redhat nicht immer anerkannt? Oder kompiliert Debian mit den falschen Flags (wie zB bei dem systemd exploit letztens)?

Beim letzten CVE den ich da gepostet habe, steht auf der Seite von Kaspersky (die das scheinbbar gemeldet haben) nichts das es nur Debian betrifft. Aber warum taucht nur Debian auf? Zumindest sollte doch libVNC als Vendor dabei stehen? Wird libVNC (in dieser Version) auf keiner anderen distro verteilt?
Hier ein gegenbeispiel: https://www.cvedetails.com/cve/CVE-2016-9901/ für eines was scheinbar nur Redhat betrifft... (jedenfalls sagt der debian tracker es ist nicht vulnerable)

Für mich schauts eher danach aus, als ob Debian ein vorbildliches CVE Tracking betreibt und sich quasi die CVEs der Pakete als eigene aufhalst.
So gesehen muss man konsequent aber jedes OS zählen wo die Software in der version installiert werden könnte.

[DeletedUserReAsG]

… wenn man’s wirklich vergleichen wollte, müsste man gucken, welche Pakete in einer Installation mit etwa der Funktionalität eines nackten Windows vorhanden sind, die CVEs genau dieser Pakete zusammenzählen, und mit Windows vergleichen. Und dann sagt’s immer noch nix drüber aus, wie sicher/unsicher das jeweilige System ist, sondern nur etwas darüber, wieviele Probleme gefunden, veröffentlicht und idealerweise behoben wurden – daraus kann man dann ableiten, was einem genehm ist. Zum Beispiel „System A ist unsicherer, da wurden mehr Probleme gefunden“, oder halt „System A ist sicherer, da wurden mehr Probleme gefunden“. Insofern ist eine Diskussion über derlei Dinge recht wenig zielführend, aber der Capslock-Troll hat’s diesmal immerhin besser gemacht, als sonst …

[Signal]

aber der Capslock-Troll hat’s diesmal immerhin besser gemacht, als sonst …

..da der Originalbeitrag auf Deutsch war.

[B52]

Jetzt ist eure Expertenmeinung gefragt. Kann man das so hinnehmen?

Hier meine "Expertenantwort": Ja, musst du!

PS. Debian sucht immer Leute, die aktiv helfen. Melde Dich doch und stopfe die Lücken!
--> https://www.debian.org/intro/help.de.html

[inne]

PS. Debian sucht immer Leute, die aktiv helfen. Melde Dich doch und stopfe die Lücken!
--> https://www.debian.org/intro/help.de.html

Eine Frechheit hier mit einer deutschsprachigen Einladung zu kommen1!elf

[debianuser4782]

Inwiefern profitieren Distributionen wie Debian eigenlich von den (mehr oder weniger) automatischen Fehlerberichterstattungdiensten von zB Ubuntu?

Eigentlich müssten bei diesen voreingestellten "Schleppnetzen" ja wichtige Sicherheits-Informationen auch für andere Distributionen mit dabei sein. Nicht zuletzt auch, was die Wechselwirkung zwischen verschiedenster Hard- und Software angeht.

[eggy]

Inwiefern profitieren Distributionen wie Debian eigenlich von den (mehr oder weniger) automatischen Fehlerberichterstattungdiensten von zB Ubuntu?

Die Debiandevs bekommen in der Regel auch Infos über den Zustand (patches/bugreports/etc) ihres Pakets in Ubuntu angezeigt, Beispiel: https://tracker.debian.org/pkg/hello (siehe "ubuntu"-Kasten rechts unten)
Und nicht selten betreut ein Mensch/Team das Paket sogar in beiden Fällen, bzw das Paket wird in Ubuntu direkt und ohne eingreifende Änderungen aus Debian weiterverwandt.

[Colttt]

tldr;
irgendwie logisch das ganze.. denn Debian hat die meisten Pakete im Repo. Windows hat nur das Betriebssystem mehr nicht. Debian hat noch diverse IDEs Browser, Office/Mail-Anwendungen, da ist es doch klar das dort die meisten Bugs gefunden wurden..

[DeletedUserReAsG]

tldr;

Hätteste mal doch gelesen, dann hätte die Redundanz vermieden werden können.
scnr

[reox]

denn Debian hat die meisten Pakete im Repo. [...] da ist es doch klar das dort die meisten Bugs gefunden wurden

Naja wie ich ja schon geschrieben habe muss man ganz genau schauen was die seite da macht. Die Frage ist ob der bug tatsächlich das debian paket betrifft (wie zB bei dem systemd bug) oder auch oder nur das upstream paket und ob die bugs evt auch in anderen distros drin sind.

[BongoFury]

Artikel von Cheap auf ihren "Wahrheitsgehalt" abzuklopfen ist so als wenn man bild Artikel untersuchen würde: Kein Mensch mit klarem Verstand liest den Müll, kein Mensch mit klarem Verstand würde erwarten das dort etwas anderes zu sehen ist als zu Klickbait und Werbung verarbeitete "Geschichten" mit aüßerst dünnem oder gar ganz ohne jeglichen Realitätsbezug.

Das der User DEBIANUNDANDREAS uns dennoch derartigen Stumpfsinn präsentieren muss wirft wohl ein angemessenes Licht auf seine Person.

Oder mal ganz modern formuliert: Alder, was stimmt bei dir nicht?

[willy4711]

Das der User DEBIANUNDANDREAS uns dennoch derartigen Stumpfsinn präsentieren muss wirft wohl ein angemessenes Licht auf seine Person.

Nein Nein Nein

DEBIANUNDANDREAS ist ein Genie und trägt maßgeblich zum Unterhaltungswert im Forum bei

Hab mir mal die Mühe gemacht die letzten drei Monate zu durchforsten:

25 Beiträge
229 Antworten
16512 Zugriffe

Das soll ihm erst mal jemand nachmachen

[RobertS]

…
Hab mir mal die Mühe gemacht die letzten drei Monate zu durchforsten:

25 Beiträge
229 Antworten
16512 Zugriffe

Das soll ihm erst mal jemand nachmachen

Du stalkst Capslockandy?

[uname]

Man kann Personen wie Capslockandy nur bekämpfen, wenn man sich gegen deren Erwartungen verhält. Capslockandy möchte durch dumme Fragen provozieren. Aber es gibt eigentlich gar keine dummen Fragen, sondern nur dumme Antworten. Ich versuche aus jeder noch so dummen Frage egal von wem etwas rauszuholen. Dieser Thread zeigt, dass diese Fragen ein Gewinn für die gesamte Community sein können.

Ich finde es im übrigen sehr gut, wie wir damit umgehen. In anderen Foren wäre er längst gebannt worden und hätte sich mit einen neuen Account neu angelegt. Bei der ganzen Kritik in letzter Zeit am Debianforum möchte ich das mal positiv hervorheben.