1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Project Zero: Erneut ungepatchter…

90 Tage sind auch genug Zeit

  1. Thema
  1. 1
  2. 2

Neues Thema Ansicht wechseln


  1. 90 Tage sind auch genug Zeit

    Autor: Itchy 27.02.17 - 17:49

    Wofür muss sich Google hier kritisieren lassen? 90 Tage sind eine angemessene Frist meiner Meinung.

    Wenn Google die Lücke kennt, dann womöglich andere auch. Und auch Google Mitarbeiter sind nur Menschen und vor Korruption nicht gefeit, nur so als Denkanstoß.

  2. Re: 90 Tage sind auch genug Zeit

    Autor: Iruwen 27.02.17 - 18:25

    Ich verstehe das auch als Kritik an starren Update-Zyklen die angesichts moderner Bedrohungsszenarien einfach vollkommen anachronistisch sind.

  3. Re: 90 Tage sind auch genug Zeit

    Autor: Kleba 27.02.17 - 21:46

    Itchy schrieb:
    --------------------------------------------------------------------------------
    > Wofür muss sich Google hier kritisieren lassen? 90 Tage sind eine
    > angemessene Frist meiner Meinung.

    90 Tage wirken viel, aber wenn Du überlegst, dass womöglich allein das abschließen aller relevanten Unit Tests mehrere Tage dauert, relativiert sich das sehr schnell.

    Stell dir folgendes vor:
    - der Bug wird eingereicht
    - es vergehen 2 T bis es an der richtigen Stelle gelandet ist ( = 2T)
    - der zuständige Entwickler macht sich Gedanken über die Umsetzung (+ 1-3 T; = 3-6 T)
    - es wird ein Patch entwickelt (+1 - 5 T; = 4 - 11 T)
    - es werden alle relevanten Builds erzeugt (+4 T; = 8 -15 T) [Anm.: je nach Ursprung des Fehlers sind viele Versionen zu testen; das Erzeugen von Builds dauert schon mal etwas)
    - alle (relevanten) (Unit) Tests werden durchlaufen (+5- 10T; = 13 - 25T)
    - es tritt ein Fehler aufgrund des Patches auf; weitere Entwickler werden zu Rate gezogen (+3 T; = 16 - 28T)
    - ...

    Das ist jetzt zwar etwas aus dem Ärmel geschüttelt und soll keine ernsthafte Auflistung aller Tätigkeiten in so einem Fall sein, aber es dient der Veranschaulichung wie schnell die Zeit in so einem Fall verfliegt.
    Außerdem komme ja noch weitere Punkte hinzu. Neben den automatisierten Tests laufen ja auch noch mal manuelle. Das kostet alles irre viel Zeit und nicht alles lässt sich parallelisieren.

    Ich entwickel selbst Unternehmenssoftware im ERP-Umfeld. Und auch wenn die Builds, Patches, Tests hier nicht so lange dauern wie in der Auflistung, ist das eine geschätzte/gefühlte "Näherung" für den Aufwand (deshalb ja auch die Spannen von mehren Tagen) bei einem so komplexen Umfeld wie Windows bzw. die dazugehörigen Abhängigkeiten.Wahrscheinlich habe ich an einigen Stellen eher deutlich zu wenig angesetzt.

    > Wenn Google die Lücke kennt, dann womöglich andere auch. Und auch Google
    > Mitarbeiter sind nur Menschen und vor Korruption nicht gefeit, nur so als
    > Denkanstoß.

    Das ändert doch nichts daran, dass durch die Veröffentlichungen möglicherweise mehr Schaden angerichtet wird. Können sich die Unternehmen (in diesem Fall Google und Microsoft) nicht darauf einigen: wenn nachweisbar ist, dass mit Hochdruck an einem Patch gearbeitet wird, wird die Frist verlängert? In diesem Fall scheint ja auch eher der ausgefallene Patch-Day daran "Schuld" zu sein, als das es keinen Patch gibt. Gerade in so einem Fall, sollten die doch darüber reden können.

    Just my 2cents

    LG
    Kleba

  4. Re: 90 Tage sind auch genug Zeit

    Autor: Der schwarze Ritter 27.02.17 - 21:57

    Und starre Veröffentlichungszeiträume sind eine Kritik an starren Update-Zyklen? Klingt nach einem Treppenwitz.

  5. Re: 90 Tage sind auch genug Zeit

    Autor: Porterex 27.02.17 - 22:01

    Kleba schrieb:
    --------------------------------------------------------------------------------
    > In diesem Fall scheint ja auch eher der ausgefallene
    > Patch-Day daran "Schuld" zu sein, als das es keinen Patch gibt. Gerade in
    > so einem Fall, sollten die doch darüber reden können.
    >
    > Just my 2cents

    Echt lächerlich. Nur weil ein (paar) Patch(es) nicht bereit sind werden Sicherheitspatches auf weitere 30 Tage nach hinten verschoben, anstatt dass man außerplanmäßig einen Hotfix veröffentlicht.
    Dann die Schuld auf einen "Patch-Day"... einen Zeitraum den man sich selbst gesetzt hat, an dem man, an einem Tag, Patches für einen ganzen Monat veröffentlicht.
    Wie bescheuert muss eine Firma sein, sicherheitskritische Fehler nicht in schnellstmöglicher Zeit zu Fixen und die Patches zu veröffentlichen, anstatt die Patches einfach mal um ein paar Monate zu verschieben, weil irgend ein anderer Patch nicht veröffentlich werden kann?



    1 mal bearbeitet, zuletzt am 27.02.17 22:03 durch Porterex.

  6. Re: 90 Tage sind auch genug Zeit

    Autor: Hunv 27.02.17 - 22:20

    Sie sollten ein "Beta"-Patch veröffentlichen, der nicht im automatischen Updatezyklus drin ist.
    Dann haben sie offizell einen Patch und können parallel die Tests vor der Veröffentlichung ausführen.
    Dann zieht das Kriterium von Google, dass es keinen Patch gäbe nicht mehr.

    Und btw:
    Gibt es eine Angabe der Anzahl von Patches irgendwo, die angibt wie viele Patches Microsoft in den 90 Tagen gefixed hat?



    1 mal bearbeitet, zuletzt am 27.02.17 22:21 durch Hunv.

  7. Re: 90 Tage sind auch genug Zeit

    Autor: laserbeamer 28.02.17 - 00:41

    Vor allem wartet Google wenn man denen einen Patch zum testen zukommen lässt.

    Ich sehe hier auch eher das Problem bei starren Update cyclen. Warum alle x Tage?
    Warum nicht sofort veröffentlichen sobald ein Patch da ist? Wo soll der Vorteil liegen?
    Admins die nur einmal alle x Tage updaten möchten können das doch machen, so macht man es unter Linux ja auch.
    Alle anderen haben nur Vorteile.

  8. Re: 90 Tage sind auch genug Zeit

    Autor: 1ras 28.02.17 - 01:03

    Du hast in deinem Beispiel nicht mal ein Drittel der verfügbaren Zeit gebraucht um den Bug zu beheben.

    Bereit nach einem sechstel der verfügbaren Zeit hast du einen soweit funktionierenden Patch in der Hand, mit dem du zur Not auch die Veröffentlichung durch Google nach 90 Tagen weiter nach hinten schieben kannst.

    Ich kann beim besten Willen kein Problem erkennen.

  9. Re: 90 Tage sind auch genug Zeit

    Autor: Technik Schaf 28.02.17 - 04:04

    Kleba schrieb:
    --------------------------------------------------------------------------------
    > ... .
    >
    > Das ändert doch nichts daran, dass durch die Veröffentlichungen
    > möglicherweise mehr Schaden angerichtet wird. Können sich die Unternehmen
    > (in diesem Fall Google und Microsoft) nicht darauf einigen: wenn
    > nachweisbar ist, dass mit Hochdruck an einem Patch gearbeitet wird, wird
    > die Frist verlängert?
    Das hat ja bisher auch schon so wunderbar geklappt mit dem Einhalten solcher Abmachungen.
    Auch Microsoft hat bewiesen dass es eben nicht funktioniert sich auf den guten Willen der Verantwortlichen zu verlassen.
    Wurden die Firmen einfach möglichst schnell patches wäre so etwas wie project Zero nie entstanden weil keine Notwendigkeit bestanden hätte. Aber so gab/gibt es Lücken die Jahre lang offen blieben, bis irgendwann plötzlich etwas bekannt wurde und dann war plötzlich doch innerhalb von weniger Tage ein Patch da.

    Ohne den Druck durch solche drohenden veröffentlichungen würde sich daran auch nichts ändern

  10. Re: 90 Tage sind auch genug Zeit

    Autor: M. 28.02.17 - 07:28

    > Ohne den Druck durch solche drohenden veröffentlichungen würde sich daran
    > auch nichts ändern
    This. Wenn Softwareentwickler nicht lernen, dass kritische Schwachstellen umgehend als Blocker mit höchster Priorität ins Tracking gehören und man im Zweifel halt alles andere (Features, fixen nicht-sicherheitsrelevanter Bugs, ...) nach hinten schieben möglichst schnell einen Patch dafür zu entwickeln, wird sich nie was ändern. Gerade weil leider häufig auch die Meinung vorherrscht, nicht öffentlich bekannte Schwachstellen oder gar alle Schwachstellen ohne öffentlichen Exploit wären ungefährlich. Nein, sind sie nicht. Weil man nicht wissen kann, wer sie kennt.

    Deshalb ist Project Zero gut und wichtig und trägt dazu bei, die Sicherheit von Software allgemein zu verbessern.

    There's no sense crying over every mistake,
    you just keep on trying 'till you run out of cake.

  11. Re: 90 Tage sind auch genug Zeit

    Autor: Emulex 28.02.17 - 07:42

    Du meinst es wäre sinnvoller, alte Programm/OS-Versionen zu bereinigen, bevor man neue erstellt, auf die nichtmal die wenige Jahre alte, eigene Hardware updaten kann ?
    Dann sag das mal Google...

  12. Re: 90 Tage sind auch genug Zeit

    Autor: der_wahre_hannes 28.02.17 - 08:27

    M. schrieb:
    --------------------------------------------------------------------------------
    > Deshalb ist Project Zero gut und wichtig und trägt dazu bei, die Sicherheit
    > von Software allgemein zu verbessern.

    Ob Project Zero auch mit Handyherstellern so umspringt, die keine Patches mehr für alte Androidversionen bereitstellen?

  13. Re: 90 Tage sind auch genug Zeit

    Autor: redmord 28.02.17 - 11:00

    Wenn jeder dritte Patch nicht im laufenden Betrieb eingespielt und angewendet werden kann sondern einen Neustart benötigt, sind wieder ganz andere Kundengruppen am Heulen.

  14. Re: 90 Tage sind auch genug Zeit

    Autor: 1ras 28.02.17 - 11:15

    redmord schrieb:
    --------------------------------------------------------------------------------
    > Wenn jeder dritte Patch nicht im laufenden Betrieb eingespielt und
    > angewendet werden kann sondern einen Neustart benötigt, sind wieder ganz
    > andere Kundengruppen am Heulen.

    Diese Kundengruppen hätten wohl besser auf einen OS-Hersteller gesetzt, welcher Bugfixes ohne Neustart hinbekommt...

  15. Re: 90 Tage sind auch genug Zeit

    Autor: redmord 28.02.17 - 11:22

    Den Zeig mir mal.

  16. Re: 90 Tage sind auch genug Zeit

    Autor: 1ras 28.02.17 - 11:34

    redmord schrieb:
    --------------------------------------------------------------------------------
    > Den Zeig mir mal.

    Beispielsweise unter Linux war für Bugs im Userland noch nie ein Neustart erforderlich. Selbst Bugs im Kernel können im laufenden Betrieb ohne Neustart behoben werden.

  17. Re: 90 Tage sind auch genug Zeit

    Autor: redmord 28.02.17 - 11:41

    kpatch ist eine tolle Sache, klar.

    Dass ein OpenSSL-Patch eingespielt wurde heißt noch lange nicht, dass er systemweit angewendet wird. Dies wird gemeinhin dem User/Admin überlassen.

  18. Re: 90 Tage sind auch genug Zeit

    Autor: 1ras 28.02.17 - 12:08

    redmord schrieb:
    --------------------------------------------------------------------------------
    > kpatch ist eine tolle Sache, klar.
    >
    > Dass ein OpenSSL-Patch eingespielt wurde heißt noch lange nicht, dass er
    > systemweit angewendet wird. Dies wird gemeinhin dem User/Admin überlassen.

    Klar, wenn jede Anwendung die xte Kopie der selben Bibliotheken mitbringt, hilft das Patchen einer Instanz herzlich wenig. Aber auch das ist hauptsächlich ein Windows-Problem. Eine gute Linux Distribution wird keine doppelt vorhandenen Bibliotheken dulden.

    Ist die Bibliothek systemweit nur einmal vorhanden und wird dafür ein Patch eingespielt, dann wird dieser natürlich systemweit angewendet für ab diesem Zeitpunkt startende Prozesse. Welche bereits laufenden Prozesse davon betroffen sind und wie diese dazu bewegt werden OpenSSL neu zu laden, sollte ein Admin hingegen wissen. Ein Neustart des Systems ist hierfür nicht erforderlich.

  19. Re: 90 Tage sind auch genug Zeit

    Autor: redmord 28.02.17 - 12:32

    1ras schrieb:
    --------------------------------------------------------------------------------
    > Klar, wenn jede Anwendung die xte Kopie der selben Bibliotheken mitbringt,
    > hilft das Patchen einer Instanz herzlich wenig. Aber auch das ist
    > hauptsächlich ein Windows-Problem. Eine gute Linux Distribution wird keine
    > doppelt vorhandenen Bibliotheken dulden.

    Das ist nicht mal der Punkt.

    > Ist die Bibliothek systemweit nur einmal vorhanden und wird dafür ein Patch
    > eingespielt, dann wird dieser natürlich systemweit angewendet für ab diesem
    > Zeitpunkt startende Prozesse. Welche bereits laufenden Prozesse davon
    > betroffen sind und wie diese dazu bewegt werden OpenSSL neu zu laden,
    > sollte ein Admin hingegen wissen.

    Zuerst wird gesagt, die Endkunden sollen ein OS wählen, welches keine Reboots benötige. Nach dem aufgezeigt wird, dass die Angelegenheit eben nicht so simpel ist wie zunächst behauptet, wird in den Raum gestellt, der User müsse eben entsprechend qualifiziert sein.

    Und jetzt lös mal auf einem Debian mit zig Diensten, Containern usw. auf welche Pakete openssl / libsslx.x.x nutzen und kontrolliere ob Pakete zwischen diesen und Diensten wie Nginx oder OpenSSH-Server auch wirklich neu geladen wurden usw.
    Weißt du was wir da einfach machen und bombensicher liegen? Reboot.

    > Ein Neustart des Systems ist hierfür
    > nicht erforderlich.

    Wahrscheinlich ist auch bei Windows kein Neustart wirklich erforderlich. Nur hat man sich zugunsten der Sicherheit dazu entschieden.

    Der Uptime-Counter eines Systems bedeutet gar nichts. Reboots sind eine solide Lösung und stellen auch kein echtes Problem dar.

  20. Re: 90 Tage sind auch genug Zeit

    Autor: M. 28.02.17 - 16:06

    > Ob Project Zero auch mit Handyherstellern so umspringt, die keine Patches
    > mehr für alte Androidversionen bereitstellen?
    Es besteht seitens des AOSP soweit ich weiss kein Anspruch, Schwachstellen nachdem sie Upstream gefixt wurden geheim zu halten. Und auch bei herstellerspezifischen Schwachstellen gilt die 90-Tage-Regel: [bugs.chromium.org].

    There's no sense crying over every mistake,
    you just keep on trying 'till you run out of cake.

  1. Thema
  1. 1
  2. 2

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. Product Owner (m/w/d)
    ID Information und Dokumentation im Gesundheitswesen GmbH & Co. KG aA, Berlin, Bielefeld
  2. IT Business Partner (m/f/d)
    DS Smith Paper Deutschland GmbH, Aschaffenburg (Home-Office)
  3. Junior IT System Engineer (m/w/d)
    rocon Rohrbach EDV-Consulting GmbH, Mainz
  4. Senior-Softwareentwickler m/w/d .NET, C#
    Klinkhammer Intralogistics GmbH, Nürnberg

Detailsuche


Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote
  1. 424,99€


Haben wir etwas übersehen?

E-Mail an news@golem.de


Streaming: Disney+ füllt seine Star-Wars-Lücken auf
Streaming
Disney+ füllt seine Star-Wars-Lücken auf

Fast alles von Star Wars kann man bei Disney+ streamen. Ein paar Kleinigkeiten haben aber noch gefehlt. Am 18. Juni gibt es Nachschub an neuem Alten.
Von Peter Osteried

  1. National Air and Space Museum Der X-Wing-Jäger aus Star Wars kommt ins Museum
  2. Star Wars Disney zeigt erstmals ausfahrbares Lichtschwert
  3. Star Wars - The Bad Batch Die Schaden-Charge hat jetzt ihre eigene Serie

Netflix: Warum so viele Serien nur zwei Staffeln lang laufen
Netflix
Warum so viele Serien nur zwei Staffeln lang laufen

Die Superhelden-Serie Jupiter's Legacy war bei ihrem Start ein Erfolg bei Netflix. Jetzt wurde sie eingestellt. Wie entscheidet Netflix, ob eine Serie verlängert wird?
Von Peter Osteried

  1. Streaming Netflix beschließt Partnerschaft mit Steven Spielberg
  2. Merchandise Netflix eröffnet Fanklamotten-Onlineshop
  3. eBPF Netflix verfolgt TCP-Fluss fast in Echtzeit

Rückschau E3 2021: Galaktisch gute Spiele-Aussichten
Rückschau E3 2021
Galaktisch gute Spiele-Aussichten

E3 2021 Es hat sich selten wie eine E3 angefühlt - dennoch haben Spiele- und Hardware-Ankündigungen Spaß gemacht. Meine persönlichen Highlights.
Von Peter Steinlechner