1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Linux: Keine Eile beim Schließen…

Witziger Artikel - was ist los Herr Autor?

  1. Thema

Neues Thema Ansicht wechseln


  1. Witziger Artikel - was ist los Herr Autor?

    Autor: ultim 08.09.20 - 11:53

    Bei Sicherheitslücken (generell beim Responsible Disclosure) ist es üblich, dem Softwarehersteller mindestens 1 Monat Zeit zu geben auf eine Lücke mit einem Fix zu reagieren. Hier hat Cohen laut Bericht erst Mitte letzter Woche die Lücke gemeldet, und es wird schon bemängelt, dass noch kein Fix released wurde. Obwohl noch nicht einmal 4 Werktage vergangen sind?

    Das komischeste sind diese Sätze: "Bemerkenswert ist, dass offenbar niemand besondere Eile hat, das Problem zu beheben. Linus Torvalds hat am 5. September 2020, zwei Tage nach der Veröffentlichung der Sicherheitslücke, eine neue, stabile Kernelversion (5.8.7) veröffentlicht."

    Das ist alles als verwunderlich, und richtig so. Oder hätte Microsoft, oder Cisco, oder egal wer, das anders gemacht? Wenn man beim Microsoft erst zwei Tage vor einem Patch Tuesday eine Sicherheitslücke meldet, wird das auch nicht im Release (am Patch Tuesday) drinnen sein, und man wird einen ganzen Monat warten müssen, wenn nicht mehr, für einen Fix. Allgemein hätte kein Unternehmen auf der Welt innerhalb von zwei Tagen auf die Lücke reagiert. Zwei Tagen vor einem Release ist man schon längst tief in der Testphase, wo man höchstens nur mehr einfache Regressions für frühere Änderungen fixt, aber sicher nicht frisch aufgetauchte Bugreports umarmt.

    Was soll also dieses Doppelmoral heissen? "Zuverlässige" Unternehmen fixen Sicherheitsbugs erst nach einem Monat (oder nach zwei Jahren), aber wenn Linux das nicht innerhalb von zwei Tagen Released, dann ist es bemerkenswert und man muss darüber einen Artikel schreiben?

    Vorallem, der Patch wurde praktisch sofort (einen Tag nach Cohens Meldung!) in das richtige Entwicklungsbranch eingepflegt für die Aufnahme ins nächste Release, und befindet sich seither im Testen. Und der Autor kommt zur Schlussfolgerung, dass die Linux-Leute das nicht ernst genug nehmen? Lieber Herr Böck, das Internet wäre heute nicht eine Sicherheitskatastrophe wenn Microsoft so vorgehen würde wie Linux in diesem Fall!

    Einige Security-Leute müssten wirklich vom hohen Ross steigen, oder zumindest lernen, wie ein verantwortungsvolles Release-Prozess ausschaut. Oder zumindest keine Scheinnachrichten publizieren.



    1 mal bearbeitet, zuletzt am 08.09.20 12:10 durch ultim.

  2. Re: Witziger Artikel - was ist los Herr Autor?

    Autor: zonk 08.09.20 - 16:58

    Es war doch sicher nur Satire, oder?

  3. Re: Witziger Artikel - was ist los Herr Autor?

    Autor: bombinho 08.09.20 - 19:04

    ultim schrieb:
    --------------------------------------------------------------------------------
    > Hier hat Cohen laut Bericht erst Mitte letzter
    > Woche die Lücke gemeldet,

    Gemeldet oder doch veroeffentlicht?

  4. Re: Witziger Artikel - was ist los Herr Autor?

    Autor: ultim 08.09.20 - 20:26

    bombinho schrieb:
    --------------------------------------------------------------------------------
    > ultim schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Hier hat Cohen laut Bericht erst Mitte letzter
    > > Woche die Lücke gemeldet,
    >
    > Gemeldet oder doch veroeffentlicht?

    Zitat vom Artikel:
    "Cohen hat die Sicherheitslücke am vergangenen Donnerstag auf der Mailingliste oss-security bekanntgegeben. Nach eigenen Angaben hatte Cohen einen Tag vorher bereits das Kernel-Sicherheitsteam und die nichtöffentliche Sicherheitsmailingliste der Linux-Distributionen (linux-distros) informiert."

    Also eben gemeldet, nämlich am Mittwoch, ein Tag vor der Veröffentlichung. Auch nicht ideal...

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. Bundesrechnungshof, Bonn
  2. Paracelsus-Klinik Golzheim, Düsseldorf
  3. Statistisches Bundesamt, Wiesbaden
  4. Regierung von Oberbayern, München

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. (u. a. Death Stranding für 39,99€, Bloodstained: Ritual of the Night für 17,99€, Journey to...
  2. 4,25€


Haben wir etwas übersehen?

E-Mail an news@golem.de