Open Source Security tekent Criticisme
Ferline wike waarden trije nije kwetsberjochten bekend makke troch Poalen Feilichheidskrêft iSec Security Research yn 'e lêste Linux-kernel dy't in oanfaller mooglik meitsje koe om har privileezjes op' e masine te ferheegjen en programma's as haadadministrator út te fieren.
Dit binne gewoan de lêste yn 'e rige fan serieuze of krityske feilichheidskloften dy't yn' e lette pear moanne ûntdutsen binne yn Linux. De bestjoersakssum by Microsoft is wierskynlik wat feriening, of op syn minst fereale relief, fan 'e irony dat iepen boarne is feiliger en dochs binne dizze krityske tekeningen fûn.
It misset de mark yn 'e sin fan myn betinken dat de iepen boarne-software safolle feilich is. Foar starters leau ik dat de software allinich sa feilich is as de brûker of administrator dy't it konfigurearret en ûnderhâldt. Hoewol guon sizze dat Linux mear feilich is fan 'e fekânsje, in klúzige Linux-brûker is krekt as ûnfeilich as in flugge Microsoft Windows-brûker.
De oare aspekt dêrfan is dat de ûntwikkelders noch minsk binne. Ut de tûzenen en miljoenen linux-koade dy't in bestjoeringssysteem meitsje, liket it geweldich te wêzen dat der wat misdien wurde kin en úteinlik in kwetsberens ûntdutsen wurde.
Dêrnei leit it ferskil tusken open-boarne en proprietêr. Microsoft waard troch de EEye Digital Security omskreaun oer de tekeningen mei har ymplemintaasje fan ASN.1 acht moanne foardat se de kwetsberens úteinlik bekend makke en in patch frijlitte. Dy wienen acht moanne, wêrnei't de minne jonges ûntdutsen en de flau brûke koenen.
Iepen boarne oan 'e oare hân hat tenei om patched te krijen en folle flugger te aktualisearjen. Der binne safolle ûntwikkelders mei tagong ta de boarne koade dat ienris in flak of kwetsberens ûntdutsen en bekend is in patch as fernijing sa gau mooglik frijlitten. Linux is fielber, mar de iepen boarne-mienskip liket in protte flugger te reagearjen oan problemen as se ûntsteane en reagearje mei de passende updates flugger as it probleemjen fan it bestean fan 'e kwetsberens oant se omgean om te hanneljen.
Dat sei, Linux-brûkers moatte bewust wêze fan dizze nije kwetsberens en soargje dat se ynformearre wurde troch de lêste patches en fernijings fan harren ûnderskate Linux-ferkeapers. Ien opheffing mei dizze tekoarten is dat se net útinoar te brûken binne. Dat betsjut dat it systeem mei it brûken fan dizze kwetsberens oanfreegje moat de oanfaller fysike tagong hawwe oan 'e masine.
In soad feiligens-eksperts akseptearje dat ienris in oanfaller fysike tagong hat ta in kompjûter, de hannen binne ôf en hast alle feilichheid kin úteinlik trochinoar wurde. It is de fernuvere gebrûk fan 'e kwetsberens - ferdielen dy't fan systemen farre of bûten it lokale netwurk oanfallen wurde kinne - dat it gefaar foarme.
Foar mear ynformaasje kontrolearje de detaillearre kwetsberensbeheardingen fan iSec Security Research nei it rjocht fan dit artikel.