Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Logjam-Angriff: Schwäche im TLS…

Aktualisierungen

  1. Thema

Neues Thema Ansicht wechseln


  1. Aktualisierungen

    Autor: Arystus 20.05.15 - 15:28

    Ich als Amateur Admin, der mit sich selbst beigebrachten Wissen, Root Server betreibt. Auf dem Homepages, Foren, Game- und VOIP-Server (TS3) laufen, und diese immer regelmäßig Aktualiesiert (mindestens 1x die woche). Frage mich warum ich das hinbekomme, und wichtige Websites mit veralteter Software laufen.

    Oder übersehe ich was oder sehe ich was falsch. Hat das nicht Priorität?

  2. Re: Aktualisierungen

    Autor: non_sense 20.05.15 - 15:38

    Arystus schrieb:
    --------------------------------------------------------------------------------
    > Oder übersehe ich was oder sehe ich was falsch. Hat das nicht Priorität?

    Bei Firmen hat die Stabilität Priorität.
    Durch Aktualisierungen kann es passieren, dass eine Software nicht mehr so läuft, wie gehabt, und sie deshalb erstmal Tests fahren müssen, ob nach einem Update noch alles läuft, oder ob irgendwas angepasst werden muss. Das kostet Zeit und Geld. Ein Update bedeutet ja auch nicht, dass die Software weniger Fehler besitzt. Es können sich ja auch neue Fehler eingeschlichen haben. Also nimmt man nicht jedes Update mit.

    Banken sind da z.B. sehr konservativ. Ein Softwareupdate kann bedeutet, dass sich eine Kennzahl ändert, die berechnet wird z.B. Aufgrund einer neuen Gesetzeslage oder von neuen Erkenntnissen. Dann muss diese Zahl per Hand plausibilisiert werden, und das kann je nach Kennzahl unterschiedlich Komplex werden. Oftmals beauftragen Banken sogar Firmen damit, dass sie diese Kennzahlen überprüfen sollen, weil die Banken selber nicht das Personal dafür haben. So ein Test kann je nach Umfang auch mehrere Monate dauern.

  3. Re: Aktualisierungen

    Autor: der_wahre_hannes 20.05.15 - 15:55

    Dem ist nichts mehr hinzuzufügen, außer dem Hinweis an Arystus sich mal ein wenig mit den Begriffen "Stable" und "Bleeding Edge" auseinanderzusetzen. Dann sollte recht schnell klar werden, wieso viele Webseiten oder Programme mit "alten" Versionen laufen. ;)

  4. Re: Aktualisierungen

    Autor: Arystus 20.05.15 - 16:54

    Danke! Werde ich mir anschauen.

  5. Re: Aktualisierungen

    Autor: Anonymer Nutzer 20.05.15 - 17:00

    Ein großes Problem sind Hersteller (egal ob Software oder Hardware) da die meisten kaum Sicherheitspatches bereitstellen. Generell ist starke Verschlüsselung oder "sichere" Verschlüsselung bei keinem Hersteller von großer Priorität.

    Beispiel CISCO: http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20150320-openssl

    <click> Vulnerable Products
    Manche Produkte werden erst im November mit einem Update versehen. manche Produkte gar nicht mehr.. da weiss man doch wofür man bezahlt! :-)

    Ich habe CISCO eigentlich nur gewählt weil man da sehr weit in die "Zukunft" plant:
    Cisco WebEx Meetings for Android CSCut45846 -> Android 7.5 <- :-D

    Das kann man für andere Hersteller auch auflisten...
    Hauptproblem deutscher Kunden: Es beschwert sich niemand...

  6. Re: Aktualisierungen

    Autor: angrydanielnerd 20.05.15 - 17:03

    Weil bei den meisten größeren da noch etwas mehr dran hängt als ein paar schnöde PHP Seiten oder ein TS Server. Alleine auf meiner Büchse zuhause laufen: OpenMediaVault, FHEM, Tvheadend, Oscam, VirtualBox. Drin steckt eine TV Karte und ein DVB-C Stick für die jeweils der Treiber händisch kompiliert werden müssen. Das ist nicht alles so trivial wie Standard Pakete a' la Apache, PHP oder MySQL hoch ziehen.

  7. Re: Aktualisierungen

    Autor: Arystus 20.05.15 - 17:16

    angrydanielnerd schrieb:
    --------------------------------------------------------------------------------
    > Weil bei den meisten größeren da noch etwas mehr dran hängt als ein paar
    > schnöde PHP Seiten oder ein TS Server. Alleine auf meiner Büchse zuhause
    > laufen: OpenMediaVault, FHEM, Tvheadend, Oscam, VirtualBox. Drin steckt
    > eine TV Karte und ein DVB-C Stick für die jeweils der Treiber händisch
    > kompiliert werden müssen. Das ist nicht alles so trivial wie Standard
    > Pakete a' la Apache, PHP oder MySQL hoch ziehen.

    Nunja aber Apache kann man Patchen ohne das der Treiber für den DVB-C stick kaputt geht, oder? Geht ja um Websites. Für ein Betriebssystempatch stimme ich dir voll zu das musste ich schön öfters am eigenen leib erfahren.

    Auch das Patchen des Apaches und von PHP hat mich mal sehr viel arbeit gekostet weil sie nur noch PHP:PDO zugelassen haben und ich Objekt Orientiertes Programmieren lernen musste. (Da muss ich ehrlich sein, ich war WAS SOLL DER SCHEIß Gruppe und dann kam Oh is ja doch sinnvoll ^^)

  8. Re: Aktualisierungen

    Autor: Arystus 20.05.15 - 17:49

    srother schrieb:
    --------------------------------------------------------------------------------
    > Ein großes Problem sind Hersteller (egal ob Software oder Hardware) da die
    > meisten kaum Sicherheitspatches bereitstellen.

    Das ist natürlich richtig Sche***, gerade bei Software (bei Hardware geht das ja nicht) bin ich Fan von OpenSource weil sich immer eine Gruppe findet die das Projekt Betreut oder es anders weiter entwickelt. Aber da hab ich mal auf Arbeit einen Passenden Satz zu hören bekommen, als ich Open Source Software vorgeschlagen habe (War kostenlos auch für Kommerziell) "Und wen sollen wir verklagen wenn die Software nicht läuft?" der andere Satz war "Es gibt keinen Service da, was machen wir wenn es nicht läuft".

    Naja und für die Antwort: "Sich selbst weiter bilden und Verantwortung für sein Handeln übernehmen" hab ich dann Ärger kassiert. Point und Klick und wenn was nicht geht -> Ticket, IT hab ich mir anders vorgestellt ^^.

    >Generell ist starke Verschlüsselung oder "sichere" Verschlüsselung bei keinem
    >Hersteller von
    > großer Priorität.
    >

    Gerade weil soviel Skandale im Bereich IT sind, sollte man das doch erwarten, oder?
    Und ich weiß jetzt nicht was du von CISCO hast, aber macht es nicht an manchen Punkten sinn z.B. für Dateiserver, einen Raid Controler zu kaufen und dann die Software Sache (Verschlüsselung / Verwaltung der Dateien) selbst zu Programmieren / Passende Software dafür zu verwenden?

    > Das kann man für andere Hersteller auch auflisten...
    > Hauptproblem deutscher Kunden: Es beschwert sich niemand...

    Tun sie schon nur nicht beim Hersteller(Zuständigen), sondern meist bei Personen(Kollegen) die Überhaupt nichts dafür können, meist so 1 1/2 Stunden vor der Mittagspause und hören erst auf wenn die beginnt, oder jemand mit Arbeit ins Büro schneit.

  9. Re: Aktualisierungen

    Autor: SkynetworX 20.05.15 - 18:08

    Neben den schon genannten Punkten kann es gerade bei größeren Firmen auch einfach an den internen Prozessen liegen, dass solch ein zu planender Change einfach mal ein vielfaches der Zeit in Anspruch nehmen kann als die eigentliche Durchführung der technischen Änderung.

    Da müssen Downtimes geplant, Pläne erstellt und Genehmigungen eingeholt werden. Das ganze kann einen so enormen Rattenschwanz haben, dass da gerne Wochen ins Land ziehen. Dann hat es Gewerk X zu lange gedauert und der Spaß der Genehmigung oder Prüfung fängt dort von vorne an.

    Wäre es doch nur immer so wie auf dem eigenen Root-Server. :)

    ...........................................
    "You can logoff, but you can never leave."

  10. Re: Aktualisierungen

    Autor: JeGr 21.05.15 - 13:00

    Da hast du prinzipiell recht, aber:

    Gerade bei einem Web-Stack aus Webserver, Skriptsprache (wie PHP) und Datenbank gibt es ein Gleichgewicht der Komponenten, die durchaus auch noch externe Abhängigkeiten haben. Klar lässt sich jetzt sagen, dass man doch einfach den Webserver updaten soll (Apache), aber das geht mitunter eben nicht so einfach, denn:

    * In Firmenumgebungen wird wie schon oben gesagt Wert auf Stabilität gelegt. Sprich: Im Normalfall setzt du keine Rolling Release Distro ein, die ggf. instabile oder zu neue Pakete ins Spiel bringt sondern nutzt eher LTS Versionen (long term support), da der Kunde ja nicht jedes halbe Jahr Aufwand zahlen möchte wegen Server-Update
    * Gerade bei stabilen (LTS) Versionen bleibt dann über 3-5 Jahre hinweg der Software Stand gleich/stabil und es werden nur Backports von Security Updates gemacht. Dabei bleibt aber der Softwarestand meist unverändert - sprich der Apache bleibt eben 2.2 nur werden Security Bugs gefixt. Das bringt aber dann keine neuen Features wie neue SSL Cipher o.ä. mit
    * Deine Software hat Abhängigkeiten. Bspw. größere PHP Projekte bspw. haben als Voraussetzungen diverse PHP Versionen. Bestes Beispiel: PHP 5.3 (in Ubuntu 10.04LTS und 12.04LTS enthalten) wird immer noch extrem viel eingesetzt, obwohl es 5.4, 5.5 und 5.6 gibt. Warum? Möglicherweise sind Teile des PHP Codes gecrypted und/oder gegen PHP 5.3 gebaut worden. Ein Update auf eine neuere Version ist somit nicht drin. Ein aktuelles Ubuntu 14.04LTS bringt aber bereits PHP 5.5 und Apache 2.4 mit. Letzterer wäre zwar schön, aber die Software arbeitet eben noch nicht sauber mit PHP 5.5 oder es gibt/gab kein ZendGuard Modul zum Entschlüsseln auf PHP5.5/5.6.

    Der letzte Punkt bspw. hat bei uns sehr viele Projekte davon abgehalten auf aktuelle OS Versionen zu setzen. Und wenn wir anfangen pro Kunde oder Architektur eigene Pakete zu bauen bringt das wieder ganz andere Schwierigkeiten mit sich (wer macht dann die Bugfixes/Security Backports etc. die sonst der Distro-Hersteller oder das Security Team bringt?) Gerade im Hosting Bereich hast du somit viele Maschinen die eben nicht mit aktuellen Distros laufen, es sei denn es sind junge Projekte die neu erstellt wurden. Aber die vorhandenen upzudaten ist gerade recht schwierig und die Unwilligkeit von Kunden ein Serverupdate einzusehen (und den Aufwand der dahinter steht - sowohl auf Hoster als auch Programmiererseite um alles zu testen) ist oftmals sehr gering.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. DLR Deutsches Zentrum für Luft- und Raumfahrt e.V., Köln
  2. Karlsruher Institut für Technologie (KIT) Campus Nord, Eggenstein-Leopoldshafen
  3. Kunstakademie Münster, Münster
  4. VALEO GmbH, Bietigheim-Bissingen

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. 2,99€
  2. (-75%) 3,75€
  3. 26,99€
  4. 23,99€


Haben wir etwas übersehen?

E-Mail an news@golem.de


In eigener Sache: Golem.de bietet Seminar zu TLS an
In eigener Sache
Golem.de bietet Seminar zu TLS an

Der Verschlüsselungsexperte und Golem.de-Redakteur Hanno Böck gibt einen Workshop zum wichtigsten Verschlüsselungsprotokoll im Netz. Am 24. und 25. September klärt er Admins, Pentester und IT-Sicherheitsexperten in Berlin über Funktionsweisen und Gefahren von TLS auf.

  1. In eigener Sache Zweiter Termin für Kubernetes-Seminar
  2. Leserumfrage Wie können wir dich unterstützen?
  3. In eigener Sache Was du schon immer über Kubernetes wissen wolltest

Forschung: Mehr Elektronen sollen Photovoltaik effizienter machen
Forschung
Mehr Elektronen sollen Photovoltaik effizienter machen

Zwei dünne Schichten auf einer Silizium-Solarzelle könnten ihre Effizienz erhöhen. Grünes und blaues Licht kann darin gleich zwei Elektronen statt nur eines freisetzen.
Von Frank Wunderlich-Pfeiffer

  1. ISS Tierbeobachtungssystem Icarus startet
  2. Sun To Liquid Solaranlage erzeugt Kerosin aus Sonnenlicht, Wasser und CO2
  3. Shell Ocean Discovery X Prize X-Prize für unbemannte Systeme zur Meereskartierung vergeben

Google Maps in Berlin: Wenn aus Aussetzfahrten eine neue U-Bahn-Linie wird
Google Maps in Berlin
Wenn aus Aussetzfahrten eine neue U-Bahn-Linie wird

Kartendienste sind für Touristen wie auch Ortskundige längst eine willkommene Hilfe. Doch manchmal gibt es größere Fehler. In Berlin werden beispielsweise einige Kleinprofil-Linien falsch gerendert. Dabei werden betriebliche Besonderheiten dargestellt.
Von Andreas Sebayang

  1. Kartendienst Qwant startet Tracking-freie Alternative zu Google Maps
  2. Nahverkehr Google verbessert Öffi-Navigation in Maps
  3. Google Maps-Nutzer können öffentliche Veranstaltungen erstellen

  1. Nach Kartellamtskritik: Amazon ändert Umgang mit Marketplace-Händlern
    Nach Kartellamtskritik
    Amazon ändert Umgang mit Marketplace-Händlern

    Das Onlinekaufhaus Amazon ändert auf Druck des Bundeskartellamts seinen Umgang mit Händlern, die über Marketplace ihre Produkte verkaufen. Im Gegenzug wird ein sogenanntes Missbrauchsverfahren eingestellt.

  2. Vollformat-Kamera: Sony Alpha 7R IV mit 61 Megapixeln
    Vollformat-Kamera
    Sony Alpha 7R IV mit 61 Megapixeln

    Sony hat mit der Alpha 7R IV eine neue Systemkamera mit Kleinbildsensor vorgestellt. Sie erreicht eine Auflösung von 61 Megapixeln und kommt damit in den Bereich, der bisher Mittelformatkameras vorbehalten gewesen ist.

  3. Raumfahrt: Forscher testen Aerogel als Baumaterial für Mars-Gewächshaus
    Raumfahrt
    Forscher testen Aerogel als Baumaterial für Mars-Gewächshaus

    Ein Aerogel besteht fast nur aus Luft. Forscher in den USA wollen daraus ein Gewächshaus bauen, in dem Mars-Kolonisten Salat und Gemüse ziehen könnten. Ein erster Test ist nach Angaben der Forscher vielversprechend verlaufen.


  1. 07:53

  2. 07:36

  3. 07:15

  4. 20:10

  5. 18:33

  6. 17:23

  7. 16:37

  8. 15:10