Was tun, wenn Linux auch unsicher ist?

(Di Alessandro Rugolo)
29 / 10 / 18

Zu den wenigen Gewissheiten, die ich immer über Betriebssysteme hatte, kann ich mit Sicherheit sagen: "Linux ist besser als Microsoft".
Aber ist es wirklich so?
Es ist heutzutage die Entdeckung eines Fehler das ermöglicht es Ihnen, zu tun privilegierte Eskalation auf den Haupt-Linux-Servern.
Il Fehler ist mit dem CVE-2018-14665-Code identifiziert und scheint von Narendra Shinde identifiziert worden zu sein.
Das Problem ist nicht im Linux-Kernel-Code zu finden, sondern, so scheint es, im Code der am häufigsten verwendeten grafischen Schnittstellen auf Linux-Distributionen, X.org-Server, beginnend mit der 1.19.0-Version.
Dies bedeutet, dass seit fast zwei Jahren alle Systeme, die X.org-Server verwenden, möglicherweise Angriffen ausgesetzt sind privilegierte Eskalation.

Um es klarzustellen, die Systeme, die von dieser Schwachstelle betroffen sind, sind OpenBSD, Debian Ubuntu, Fedora, Red Hat Enterprise Linux und CentOS!

Ich halte es nicht für ratsam, mit der technischen Analyse des Problems fortzufahren. In den detaillierten Links am Ende des Artikels können die notwendigen Informationen und Vorschläge zur Lösung des Problems gefunden werden.
Was mich interessiert, ist, einige oft unterschätzte Aspekte zu vertiefen, und dazu werde ich versuchen, einige einfache Fragen zu stellen, auf die ich zu antworten versuchen werde.
Erstens, was ist mit Unix passiert, dann Linux in der Vergangenheit?
Und dann, wer entscheidet, ob und wie man sie anwendet Flicken eines Systems im Einsatz oder Wechsel zur nächsten Version?

Zweifellos haben diejenigen, die wie ich ein gewisses Alter haben, mit der Notwendigkeit der Verwendung der Befehlszeile von Unix oder Linux oder beiden zusammengestoßen, die heutzutage häufig durch die Verwendung einer grafischen Version ersetzt wird.
Die Einführung der Grafik war für die Systeme ein Erfolg, brachte viele potenzielle Benutzer zusammen und machte die Unix / Linux-Systeme den Windows-Systemen ähnlicher, gleichzeitig musste jedoch die Komplexität erhöht werden. Kurz gesagt, während früher leistungsfähige und relativ leichte Systeme verfügbar waren, hat die Einführung von Grafiken den Code beschwert.
Linux-Betriebssysteme sind in der Regel das Privileg der Techniker, sie werden innerhalb verwendet Rechenzentrum Für das Management von Netzwerken und IT-Systemen, die eine hohe Performance benötigen, ist dies ihr charakteristisches Merkmal, aber oft sind sie bei Managern und Entscheidungsträgern, die auf Techniker angewiesen sind, wenig bekannt. Verhalten korrekt oder nicht, schwer zu sagen.

Wer kann besser als ein guter Techniker sagen, was benötigt wird, damit ein System besser funktioniert? Wahrscheinlich keiner.

Aber wer hat die Verantwortung für das Unternehmen? Wer antwortet juristisch auf Fehler? Wer zahlt bei Nichteinhaltung der Datenschutzgesetze oder bei Abzug von Industrie-, Militär- oder Staatsgeheimnissen?

Ich denke, es ist klar, dass Techniker ihre Autonomie haben müssen, aber ich denke, es ist ebenso klar, dass in einer seriösen Organisation ein Risikoanalysesystem eingesetzt werden sollte, das auch das technologische Risiko und die Analyse des Systems berücksichtigt Flicken (Funktion und Sicherheit) müssen berücksichtigt werden, wie Risikoanalyse beim Übergang von einer Version zur nächsten.

Der Prozess, der auf die Grafik zukam, ist demjenigen, der die Virtualisierung vorangetrieben hat, sehr ähnlich. Ich hoffe, dass diejenigen, die Virtualisierung gewählt haben, es bewusst gemacht haben!

Was mir immer klarer wird, ist die Tatsache, dass wir einfache Dinge tun müssen, um eine effektive Kontrolle ausüben zu können. Dies ist eine Regel, von der ich glaube, dass sie immer gültig sein kann, vor allem im Bereich der Informationstechnologie.
In einem kritischen Umfeld muss sichergestellt werden, dass das technische Personal in der Lage ist, mit sicheren Werkzeugen und klaren Verfahren zu arbeiten.

Die Fähigkeit, Betriebssysteme zu verwenden Linux wie von der Kommandozeile aus ist also meiner Meinung nach eine Kapazität, die erhalten werden kann, ohne von der unsäglichen Leichtigkeit der Grafiksysteme zu sehr angezogen zu werden, die als Gegenstück die Komplexität des Codes und der Angriffsfläche erhöhen.

Um mehr zu erfahren:

- https://www.nushinde.com
- https://www.bleepingcomputer.com/news/security/trivial-bug-in-xorg-gives...
- https://bugs.debian.org/cgi-bin/pkgreport.cgi?pkg=xserver-xorg-video-int...
https://www.theregister.co.uk/2018/10/25/x_org_server_vulnerability

(Foto: US-Verteidigungsministerium)