Stopfen von Sicherheitslücken

J

juedan

Guest
Moin, moin.

Im Heiseforum ist gerade eine heiße Diskussion entbrannt, wer (Microsoft <> Linux/OpenSource) wie lange benötigt, um eventuelle Sicherheitslücken zu stopfen.

Wie lange dauert so etwas bei Free(/Open/Net)BSD? Ich denke dabei nur an das Betriebssystem. Es ist mir klar, dass es bei den (GUI-)Applikationen natürlich vom Autor abhängt.

Das soll keine Miesmacherei oder Stänkerei oder so etwas werden, es interessiert mich nur. Ich weiß, dass ich mit FreeBSD ein gutes OS habe und ich pflege es auch in regelmäßigen Abständen.

Viele Grüße

Jürgen
 
@juedan
Meistens wird über entdeckte Sicherheitslücken in den einschlägigen Mailinglisten (securityfocus) oder Foren als erstes berichtet. Die Entwickler der *BSD's lesen diese Nachricht natürlich auch und versuchen, die Sicherheitslücke zu verifizieren, d. h. nachzuschauen, ob es wirklich eine Lücke ist. Das daran gearbeitet wird, wird auf der entsprechenden Homepage des Projekts veröffentlicht. Kurze Zeit später wird dann der entsprechende Patch veröffentlicht.
Das "kurze Zeit später" kann zwischen 0 Stunden (d. h. die Entwickler waren so schnell, dass sie sofort den Bug gefixt haben) und - erfahrungsgemäß - weniger als 1 Woche dauern. Ist natürlich immer fallspezifisch.

Wichtiger als die Diskussion über den Zeitabstand zw. Entdecken und Fixen einer Sicherheitslücke ist m . M. nach viel mehr, ob die Sicherheitslücke auch wirklich SOFORT bekannt gemacht wird. Einige kommerzielle Anbieter (und leider auch die Apache-Entwickler) haben eine "Veröffentlichungspolitik", die nicht ganz so transparent ist und eher in die Richtung "Was der User nicht weiß, macht ihn nicht heiß" geht. Aber das ist ja nur meine bescheidene Meinung...

Gruß
RW
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben