Artikelformat

Vom richtigen Umgang mit Sicherheitslücken

Software hat Fehler. Manche kommen nie ans Tageslicht, manche oft erst nachdem die Software jahrelang im Einsatz war. Besonders ärgerlich ist es dann, wenn der Fehler sicherheitskritisch ist, also von Angreifern ausgenutzt werden kann um ein System zu kompromittieren. Die OpenSource Community hat hier dieses Jahr schon einen harte Zeit mit dem Heartbleed-Bug in OpenSSL gehabt, doch jetzt wurde eine Lücke in der Shell-Implementierung bash aufgedeckt, die extrem kritisch ist und die offensichtlich auch schon für erfolgreiche Angriffe ausgenutzt wurde. Bei allem Ärger über die Lücke ist es jedoch in meinen Augen sehr bemerkenswert, wie man mit diesem Problem umgeht. Bei ClosedSource-Software hätte der Hersteller wohl versucht, das zu verniedlichen oder totzuschweigen. Da bash aber OpenSource ist und jeder schauen kann was da passiert hat man sich eben nun intensiv mit der Anatomie dieser Lücke beschäftigt und wie man sie wirkungsvoll schließt, denn die ersten mit heißer Nadel gestrickten „Bugfixes“ waren wirkungslos. David A. Wheeler hat die Fakten auf einer Seite zusammengetragen und diese Zusammenfassung kann man jedem der sich mit dem Thema beschäftigen will nur empfehlen.

 

Autor: Rainer

Diplom-Informatiker, Baujahr 1961, Vater von 2 Kindern, Hundehalter, Sportschütze und Vereinsvorstand, Hobbymusiker (mit zweifelhaftem Erfolg), politisch interessiert, Leseratte, Freizeit-Philosoph und letztlich Blogger.

Kommentare sind geschlossen.