1. Foren
  2. Kommentare (alt, bis 13.1.2005)
  3. Software
  4. Betriebssysteme
  5. Them…

Sicherheitslücke in Linux erlaubt Ausspähen von Passwörtern

  1. Thema
  1. 1
  2. 2
  3. 3

Neues Thema Ansicht wechseln


  1. Re: Sicherheitslücke in Linux erlaubt Ausspähen von Passwörtern

    Autor: Green 05.08.04 - 01:21

    :)=)

  2. Re: Sicherheitslücke in Linux erlaubt Ausspähen von Passwörtern

    Autor: LH der neue 05.08.04 - 07:30

    adriatic schrieb:
    >
    > @LH der neue:
    >
    > fastrichtg: austausch on the fly aber bereits in
    > mache! :-P
    >

    Das langweilt, gehet es nun mit jeder Distri und dem aktuellen Kernel oder nicht, is ja fast wie bei Microsoft, da wird was angekuendigt, was in 3-5 Jahren erscheint - nur Fakten zaehlen ...

    es gibt ja noch nicht mal einen neuen Entwicklerkernel .... (und den gibts erst mal nicht so schnell lt. Linus) und theoretische Ansammlungen und Abhandlunngen gibs genug. Mir ist das Feature nicht mal bei AIX bekann, wie JJ erzaehlt, da kenne ich nur DLPAR und DR, und da hat nichts mit Kernelupdate on the Fly zu tun ...

    Gruss LH der neue :-))

  3. Linux Im Mittelpunkt

    Autor: Zeno 05.08.04 - 08:38

    Es wird scheinbar so intensiv wie noch nie nach linux sicherheitslücken gesucht. Das ist doch eigentlich der punkt wo linux viren auftauchen müssten, oder ? Solche "sicherheitslücken" wagen windows sicherheitsexperten garnicht erst zu suchen, da es viel derbere bugs gibt die mehr ruhm bringen :).

  4. Re: Sicherheitslücke in Linux erlaubt Ausspähen von Passwörtern

    Autor: blub 05.08.04 - 09:20

    ja und hier haste nen Keks *LOL*

  5. Re: AberAber

    Autor: Michael - alt 05.08.04 - 12:05

    Es ist aber 1. schon viel besser geworden und 2. bei golem niveauvoller

  6. ach...

    Autor: nix 05.08.04 - 13:10

    ich denke Linuks ist sooooooooooooooooooooooooooo sicher und toll und klasse und und und...

  7. Sicherheitslücke in Windows und Linux ermöglich Ausspähen von Passwörtern

    Autor: Mailerdemon 05.08.04 - 14:45

    Hi,

    dieser Bug ist schlimm, aber für Passwörter vollkommen unerheblich. Im übrigen ist der Bug nicht ganz richtig dargestellt.

    Er ermöglicht das Lesen fast aller Daten im Kernelspace (also in dem Speicherbereich wo der Kernel läuft), wo u.a. auch Passwörter im Klartext liegen könnten. Aber erstens musst du dazu auf dem lokalen System angemeldet sein (also erst mal eine Berechtigung für das lokale System haben) und zweitens musst du in dem Moment das den Kernelspace lesen, in dem sich jemand anmeldet, weil kurz danach das Passwort nicht mehr im Speicher ist.

    Das ist schon mal kompliziert und damit ist das Loch nicht mehr durch alle nutzbar und wird vermutlich nur durch wenige genutzt werden, weil eine berechtigter User sägt sich schließlich nicht das System ab auf dem er sitzt (z.B. seinen Webserver).

    Außerdem haben alle, die hier jetzt deswegen auf Linux herumhacken, gar keine Ahnung, wie Passwörter verwaltet werden, weder von Linux noch von Windows.

    Denn unter Linux kann jeder Depp, die verschlüsselten Passwörter lesen, wenn er lokal am System angemeldet ist und diese dann zum Beispiel via John the Ripper in Klartext umwandeln.

    Und unter Windows geht das auch ganz super. Hier ist nämlich die Datei SAM (Security Access Manager) dafür verantworlich. Diese befindet sich normalerweise ständig unter den Fittichen eines Prozesses, so dass sie nicht zu öffnen ist. Gott sei Dank gibt es aber die Systemwiederherrstellung und deswegen liegt die gleiche Datei noch mal im Ordner C:\Windows\System32\repair, glaube ich jedenfalls im repair-Ordner unter C:\Windows und dort kann man sie lesen :)

    So.

    Mfg

    Mailerdemon

    P.S. Das nächste mal vorher nachdenken bevor man über etwas/jemanden herzieht

    P.S. Ich wil denn Bug nicht klein reden, er ist sehr schlimm zu mal man viele andere bescheuerte Dinge damit tun kann und so was nicht passieren sollte, aber für Passwörter ist er weitgehend unrelevant.

  8. Re: ach...

    Autor: Mailerdemon 05.08.04 - 14:59

    Wer behauptet dee das?

    Es wird nur behauptet (und nach meiner Erfahrung stimmt das) das bei Linux intensiver nach Sicherheitslücken gesucht wird (und zwar auch schon bevor ein Kernel raus kommt) und Patches in der Regel (Ausnahmen bestätigen dieses) gleich nach erscheinen der Meldung bereit stehen.

    Bei MS dauert es leider sehr oft ein halbes Jahr bis eine Sicherheitslücke gefunden (zwischenzeitlich aber durch Hacker genutzt wird) und dann noch einmal ein halbes Jahr bis die Sicherheitslücke von MS bestätigt wird und noch ein halbes Jahr bis der Patch raus ist (Ausnahmen bestätigen auch hier die Regel).

  9. Re: ach...

    Autor: Fitz 05.08.04 - 15:21

    Mailerdemon schrieb:
    >
    > Wer behauptet dee das?
    >
    > Es wird nur behauptet (und nach meiner Erfahrung
    > stimmt das) das bei Linux intensiver nach
    > Sicherheitslücken gesucht wird (und zwar auch
    > schon bevor ein Kernel raus kommt) und Patches
    > in der Regel (Ausnahmen bestätigen dieses)
    > gleich nach erscheinen der Meldung bereit stehen.

    B L Ö D S I N N , Linux IST quasisicher, sicherere als jedes andere Betriebssystem, weil OpenSource, frei und kostenlos, hat ausgereiftes Rechtekonzept, es gibt keine Viren, von klugen Leuten programmiert, jeder kann den Quelltext lesen und verstehen - also laaber hier keine Sosse!

    MfG Fitz

  10. Re: ach...

    Autor: Mailerdemon 05.08.04 - 17:59

    Ich glaube nicht, das Linux sicherer ist als jedes Betriebssystem und einen Linux-Server kannst du auch angreifen, wenn man ihn nicht ausreichend Patcht.

    Es ist sicherlich sicherer als viele Systeme, aber das sicherste?

    Das find ich dann doch schon etwas hochtrabend.

    Es gibt zum Beispiele spezielle BSD-Versionen, die extra auf Sicherheit optimiert wurden, ich glaube die sind wesentlich sicherer.

    Es gibt auch spezielle Linux-Versionen die auf Sicherheit optimiert wurden, ich glaube nicht das man das alles über einen Kam scheren kann.

    Im übrigen gibt es wohl auh noch ein paar andere Systeme die OpenSource sind, so zum Beispiel FreeBe (Freies BeOS) oder FreeBSD (Freies BSD) usw.

    Mfg

    Mailerdemon

  11. Re: Sicherheitslücke in Windows und Linux ermöglich Ausspähen von Passwörtern

    Autor: /dev/null 05.08.04 - 18:01

    Mailerdemon schrieb:

    > Denn unter Linux kann jeder Depp, die
    > verschlüsselten Passwörter lesen, wenn er lokal
    > am System angemeldet ist und diese dann zum
    > Beispiel via John the Ripper in Klartext
    > umwandeln.

    Es war ein mal vor langer langer Zeit!

    Das geht schon seit bestimmt min.5 Jahren nicht mehr. (standart mässig) Auf /etc/shadow kann nur root zugreifen und in /etc/passwd steht keine Kennwörter mehr drin!

  12. KANN MICH JEMAND MAL IN BEZUG AUF AIX ERLEUCHTEN !?

    Autor: LH der neue 05.08.04 - 23:35

    D A N K E :-) !!!!!!!!!!!!!!!

  13. Re: unbefugte LOKALE Nutzer

    Autor: Yen lo Wang 06.08.04 - 20:57

    Hallo...

    :-)
    Noch´n kleinen Hinweis... Wenn ich lokal an nen Rechner komme, kann ich immer auf alle Daten dieses Rechners zugreifen. Egal was für´n BS da drauf is...
    z.B. Man nehme eine Knoppix CD und lege sie in das dafür vorgesehene LW => Rechner neu starten und von CD booten => Fertig!!! :-)

    Gruß Yen

    PS.: Wehe mir kommt jetzt einer mit dem BIOS PW... ;-)

  14. Re: ach...

    Autor: Ozzy 07.08.04 - 11:55

    Mailerdemon schrieb:

    > Bei MS dauert es leider sehr oft ein halbes Jahr
    > bis eine Sicherheitslücke gefunden
    > (zwischenzeitlich aber durch Hacker genutzt
    > wird) und dann noch einmal ein halbes Jahr bis
    > die Sicherheitslücke von MS bestätigt wird und
    > noch ein halbes Jahr bis der Patch raus ist
    > (Ausnahmen bestätigen auch hier die Regel).

    Wo hast Du denn diese Weisheit her. Letztens (vor ca. einem halben Jahr) wurde auch hier eine Studie veröffentlich, die belegt, dass die Reaktionszeit von MS keinesfalls größer ist, als die bei diversen Linuxdistris - im Gegenteil.
    Hacker stürzen sich fast immer erst auf die "Lücken", nachdem sie MS ausführlich beshrieben hat und einen entsprechenden Patch bereitstellt...
    Ausnahmen bestätigen die Regel...

  15. Re: ach...

    Autor: Mailerdemon 07.08.04 - 13:15

    Gegenfrage, wo hast du denn die Studie her bzw. wer hat die denn in Auftrag gegeben MS selbst oder war es SCO?

    Mal ehrlich, urteile doch selbst. Ich kann aus Erfahrung nur sagen, das bei Linux in der Regel sofort der Patch zur Verfügung steht (siehe Mozilla mit "Seiten die unsicher sind, aber in einem Frame eingebetet sind, der wiederum sicher ist, werden alls sicher angezeigt, oder Bug in der LibPNG), am selben Tag der Patch darußen (allerdings nur für Leute die kompilieren können) und 2 Tage später eine neue Version draußen, wo der Bug gefixt war.

    Beim IE, sind immer noch gravierende Sicherheitslücken drinne, und die sind MS wirklich ein halbes Jahr bereits bekannt.

    Ich weiß nicht, was der der die Statistik gemacht hat, für Linux-Kenntnisse hatte und welche Interessen er verfolgt hat, aber mir kommt die Studie reihn vom logischen "spanisch" vor.

    Es gibt ja so nen schönen Witz dazu: "Ein Herrsteller von Motenkugeln lässt in nem Labor, die Wirkung seiner Kugeln prüfen, um mit dem Ergebnis seine Werbung zu verbessern. Kurz darauf bekommt er das Ergebnis zugesandt, ganz entrüstet ruft er bei dem Labor an und fragt, was er den mit diesem Ergebnis solle, das könne er überhaupt nicht verwerten, das sei ja Geschäftsschädigen. Was stand in dem Bericht? Nach dem wir den Motten die Mottenkugeln gegeben hatten, gediehen sie gar prächtig, 50% wurden sogar doppelt so groß. Die Antwort des Labors war, er hätte sich dann doch bitte etwas genauer über das gewünschte Ergebnis äußern sollen, dann hätte man die Versuche demenstprechend eingerichtet :).

    Ich weiß nicht was die da getestet haben. Klar, wenn ich warte bis ein neuer Kernel für meine Distribution ruas ist, der den Bug behebt, werde ich sicherlich ewig wraten können, vermutlich wird das länger als bei MS dauern.
    Nur istd as auch nicht Sinn der Sache. Es wird bei Linux einfach mal davon ausgegangen, dass du dir bei Bugs selbstständig einen neuen Kernel (z.B. kernel.org) herunterlädst, der den Bug nicht hat oder die den Patch ziehst und deinen Kernel samt Patch selbst neu übersetzt. Der Distributor gibt erst einen neuen Kernel heraus, wenn er eine neue Zusammenstellung gebaut hat und in den Kernel neue Funktionen eingebaut hat und nicht bei jedem Bug-Fix.
    Gleiches gilt für Software, auch hier kannst du vom Distributor nicht erwarten, dass er dir eine neue Version der Software bereit stellt, die den Bug nicht hat. Auch hier gilt, entweder Binär-Patch vom Softwareentwickler ziehen oder die ganze Geschichte samt Quellcode-Patch neu übersetzen oder neue Verison von der Herrsteller-Seite ziehen.
    Ich meine, weißt du wie viel Software ein Distributor dir liefert? Bei Suse waren es zeitweise 8 CDs. Das sind einige 1000 Programme, da hätten die ganz schön was zu tun, wenn die für jede Software die Bugs fixen wollten.
    MS liefert die keine 1000 Programme mit zum System und du würdest von MS schließlich nie verlangen, das sie den Patch für iTunes von Apple mit in ihrem automatischen Update drin haben, weil es ja Fremdsoftware ist.
    Dann musst du die meisten Programme die dir dein Distributor mitliefert auch als Fremdsoftware betrachten, denn die hat der nicht selbst geschreiben, sondern nur mit verkauft.

    Und die Update-Funktion, unter RedHat (wenn die Leute die die Studie gemacht haben, diese als Maßstab aller Dinge genommen haben), ist auch nicht für den proffessionellen Sektor gedacht, sondern für den Privatanwender und aufgrund der Fülle von Software, die RedHat von anderen Leuten mit anbietet, sind schnelle Patches nun mal nicht möglich und auch nicht forderbar.

    Anders sehe ich das, wenn man die Software selber geschrieben hat, dann möchte ich den Patch schon etwas schneller haben, weil es dann auch keine andere Quelle (so wie bei Linux, nämlich die Seite des eigentlichen Programmerstellers, wenn der Patch nicht auf der Seite des Distributors ist) für einen Patch oder eine neue Version gibt. Und dan dieser Stele muss sich MS wirklich an die eigene Nase fassen, weil ich mache sie nicht für Bugs in iTunes verantwortlich, sondern für Bugs, in ihren eigenen Produkten, die si nicht patchen.

    Abschließend ist zu sgaen, das auch bhei anderen Programmen unter Linux Patches auch in der Regel innerhalb einer Woche raus kommen, nur ebend eventuell nicht auf den Seiten des Distributors.

    Mfg

    Mailerdemon

    P.S. Man sollte Studien immer erst mit der eigenen Erfahrung kritisch betrachten, den "ich glaube nur an Statistiken die ich selber gefälscht habe".

  16. AUA

    Autor: LH der neue 08.08.04 - 10:03

    Wie lange hast Du denn an diesem Posting gesessen ?!

    MfG LH der neue

  17. blafaselsülz

    Autor: Turbo 08.08.04 - 10:09

    sorry ab das ist mir zu lang um es durchzulesen.

  18. Re: Sicherheitslücke in Windows und Linux ermöglich Ausspähen von Passwörtern

    Autor: Mailerdemon 08.08.04 - 13:02

    O.K. ich revidiere meinen Thread, man kommt unter Linux nicht an die shadow, nur an die passwd, aber die nützt einem nichts.

    Unter Windows kommst du auch nur als Administrator an die /repair und SAM.

    Mfg

    Mailerdemon

  19. Re: ach...

    Autor: Michael - alt 08.08.04 - 17:14

    also du hast offenbar noch nie ein it-system betrieben. abgesehen davon, mal zuhause mit sowae rumzuspielen. würdest du das, was du hier erzählt hast in einem profi-operations-bereich erzählen, würdest du allenfalls kopfschütteln erzeugen. ist dir eigentlich klar, daß die funktionierende it-landschaft eines unternehmens arbeitsplätze garantiert? nicht funktionieren wird nicht geduldet.

  20. Das musst du mir jetzt mal etwas genauer erklären

    Autor: Mailerdemon 08.08.04 - 18:16

    Sorry,

    aber jetzt verstehe ich dich nicht.

    Ich habe nix weiter gesagt, als das MS mit den Patches länger braucht als Linux und das man sich nicht auf die einzelnen Linux-Distributoren verlassen soll, beim patchen.

    Sondern dass man sich schon mal selbst die Mühe machen muss, sich die Patches zu holen.

    Was ist daran falsch? Und was hat das alles mit einer funktionierenden IT-Umgebung zu tun?

    Mit freundlichen Grüßen

    Mailerdemon

  1. Thema
  1. 1
  2. 2
  3. 3

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. CargoSoft GmbH, Bremen (Home-Office möglich)
  2. SCHOTT AG, Mainz
  3. Interhyp Gruppe, München
  4. über duerenhoff GmbH, Raum Frankfurt am Main

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote
  1. (reduzierte Überstände, Restposten & Co.)
  2. (u. a. Xbox Wireless Controller Robot White für 59,99€)


Haben wir etwas übersehen?

E-Mail an news@golem.de


Moodle: Was den Lernraum Berlin in die Knie zwang
Moodle
Was den Lernraum Berlin in die Knie zwang

Eine übermäßig große Datenbank und schlecht optimierte Abfragen in Moodle führten zu Ausfällen in der Online-Lernsoftware.
Eine Recherche von Hanno Böck


    Elektromobilität 2020/21: Nur Tesla legte in der Krise zu
    Elektromobilität 2020/21
    Nur Tesla legte in der Krise zu

    Für die Autoindustrie war 2020 ein hartes Jahr. Wer im Homeoffice arbeitet und auch sonst zu Hause bleibt, braucht kein neues Auto. Doch in einem schwierigen Umfeld entwickelten sich die E-Auto-Verkäufe sehr gut.
    Eine Analyse von Dirk Kunde

    1. Prototyp vorgestellt VW-Laderoboter im R2D2-Style kommt zum Auto
    2. E-Auto VDA-Chefin fordert schnelleren Ausbau von Ladesäulen
    3. Dorfauto im Hunsrück Verkehrswende geht auch auf dem Land

    Blackwidow V3 im Test: Razers Tastaturklassiker mit dem Ping
    Blackwidow V3 im Test
    Razers Tastaturklassiker mit dem Ping

    Die neue Version der Blackwidow mit Razers eigenen Klickschaltern ist eine grundsolide Tastatur mit tollen Keycaps - der metallische Nachhall der Switches ist allerdings gewöhnungsbedürftig.
    Ein Test von Tobias Költzsch

    1. Gaming-Notebook Razer Blade 15 mit Geforce RTX 3080 und gestecktem RAM
    2. Project Brooklyn Razer zeigt skurrilen Gaming-Stuhl mit ausrollbarem OLED
    3. Tomahawk Gaming Desktop Razers winziger Gaming-PC erhält Geforce RTX 3080