Open Source im professionellen Einsatz
Linux-Magazin 03/2013
© V. J. Matthew, 123RF.com

© V. J. Matthew, 123RF.com

Wie Suse und Red Hat sicherheitsrelevante Patches in die Repositories bringen

Verletzlich

Verwundbarkeiten, Patches, Bugfixes, Zertifizierungen: Bei Red Hat und Suse arbeiten spezialisierte Security-Teams daran, Fehlern, Bugs und Schwachstellen rechtzeitig beizukommen.

664

Die rechte Ferse war es bei Achilles [1], bei Siegfried aus der Nibelungensaga eine Stelle am Rücken. Beide, sonst unverwundbar, besaßen eine bedrohliche Schwachstelle. Eine kleine nur, beim einen der Abdruck der mütterlichen Hand, als Thetis ihn im Fluss Styx stählte, beim anderen ein Lindenblatt, das vom Helden unbemerkt beim Bad im Drachenblut auf seinem Rücken lag. Tödlich wurden die Löcher in der magischen Rüstung erst, als die Feinde davon erfuhren. Den einen traf ein Pfeil in die Ferse, den anderen Hagens Speer.

Kleine Ursache, letale Wirkung – genau das will der sicherheitsbewusste Linux-Admin vermeiden und stählt, härtet, patcht und testet sein System. Weil aber jedwede Software – ob frei oder nicht – immer Fehler hat, ist der Anwender hier auf die Power der Community angewiesen, aber auch auf die Arbeit der Distributoren und Sicherheitsexperten. Daher betreiben Suse und Red Hat hochqualifizierte Security Response Teams (SRT, [2], [3]), die verschiedene Informationsquellen überwachen und nach bekannt werdenden Sicherheitslücken durchforsten.

Informationsquellen

Mailinglisten, Datenbanken, Announcements von (anderen) Distributoren, Projekten, Entwicklern, aus Wikis und diversen Foren – auch denen, derer sich Hacker bedienen –, aber auch eigene Audits an Sourcecode, Binaries und proprietärer Software dienen ihnen als Informationsquelle.

Marcus Meißner, Security-Chef bei Suse: "Wir nutzen die CVE-Datenbanken (Common Vulnerabilities and Exposures, Allgemein bekannte Verwundbarkeiten und offene Schwachstellen, [4], d. Red.) von Mitre ([5], Abbildung 1) und NVD [6], die Open-Source-Security-Mailingliste [7] und dort auch die geschlossene Liste für Linux-Distributoren. Außerdem überwachen wir Adobe Flash und Reader, Mozilla- und Oracle(Java)-Feeds, führen eigene Sourcecode-Audits durch und scannen Changelogs nach verdächtigen Einträgen wie »buffer overflow fix« oder »XSS fixed« . Und es kommt vor, dass uns Entwickler selbst berichten. Heutzutage tauchen die CVEs meist zuerst auf der OSS-Security-Mailingliste auf, erst später in der Mitre-Datenbank."

Abbildung 1: Eine typische CVE-Meldung mit Nummer, hier als Beispiel für einen Bug in Mozilla Firefox und Thunderbird.

Standardtool Bugzilla

Spätestens dann ticken die beiden großen Distributoren gleich: Sowohl Suse als auch Red Hat übernehmen die Meldung aus der CVE-Datenbank in die eigene DB, bei Red Hat unter [8] zu finden. Ein Verantwortlicher legt einen Bug in Bugzilla an: [9] und [10] zeigen beide als Beispiel das Mozilla-CVE 2012-1975, dem in Bugzilla (gemeinsam mit zahlreichen anderen CVEs) die ID 851910 zugewiesen ist. Jetzt prüfen die Entwickler, ob die Produkte, für die sie verantwortlich sind, betroffen sind und geben Ressourcen für die Lösung frei.

Normalerweise enthält der Bugreport bereits alle nötigen Informationen, die der Packager oder Maintainer benötigt, und in der Regel laufen jetzt auch schon automatische Methoden der Qualitätssicherung, Ressourcenplanung, Erfolgskontrolle und zur Messung der Reaktionszeit an.

Bei Suse übernimmt der jeweils zugewiesene Packager das Beheben des Problems, das SRT überwacht die Antwortzeit und hilft bei Schwierigkeiten. Anschließend gelangt das Paket ins Buildsystem (den IBS – Internal Build Service, ein Pendant des OBS), wo es nach einer initialen Abnahme eingecheckt wird. "War der Build erfolgreich, kommt die QA an die Reihe: Installiert es? Passen die Dependencies? Gelingt das Update? Außerdem kommen da auch generische Regressionstests zum Einsatz", erläutert Marcus Meißner. "Erst danach, also wenn das QA-Team das finale Okay gegeben hat, gelangt das neue Paket auf die Update-Server, die Benachrichtigungen gehen per Mail raus."

Red Hat greift dafür auf die Red Hat Security Advisories (RHSA) zurück, die die Firma nach Abschluss eines Fix publiziert – ebenfalls per Mail und Web. Abbildung 2 zeigt das gebaute Paket und die relevanten CVEs. Im oben angesprochenen Beispiel hat sich der Mozilla-Bug als kritisch in Firefox und Thunderbird erwiesen, deshalb gibt es zwei entsprechende RHSAs dazu: [11] und [12], siehe Abbildung 3. Wer sich für die Details interessiert, kann bei Red Hat auch online gezielt nach Schwachstellen und Fixes in der Paketdatenbank suchen [13].

Abbildung 2: Red Hat hat aus mehreren Fixes, die durch CVEs veranlasst waren, ein Update-Paket gebaut …

Abbildung 3: … und daraus wiederum zwei Advisories erstellt, weil der Bug sowohl Thunderbird als auch Firefox betraf.

Diesen Artikel als PDF kaufen

Express-Kauf als PDF

Umfang: 2 Heftseiten

Preis € 0,99
(inkl. 19% MwSt.)

Linux-Magazin kaufen

Einzelne Ausgabe
 
Abonnements
 
TABLET & SMARTPHONE APPS
Bald erhältlich
Get it on Google Play

Deutschland

Ähnliche Artikel

  • Security-Zertifizierung für Linux-Hypervisor KVM

    Der Linux-Distributor Red Hat hat für den Linux-Hypervisor KVM die Sicherheitszertifizierung Common Criteria Certification at Evaluation Assurance Level 4+ (EAL4+) erhalten.

  • Superb Mini Server 1.6.4 behebt Kernel-Lücke

    Die Slackware-basierte Distribution Superb Mini Server (SMS) ist in Version 1.6.4 verfügbar, die Security-Fixes für Kernel und weitere Software enthält.

  • Neues Maintenance-Modell für Opensuse

    In Zukunft soll ein Gremium aus Novell-Angestellten und Community-Mitgliedern die Liste der Updates für Opensuse festlegen. Lediglich sicherheitsrelevante Pakete kommen weiterhin von Novell alleine.

  • Rollout Testing

    Sicherheitslücken, Bugs und technischer Fortschritt bringen Distributionen jeden Tag in Bewegung. Admins, die fürs Deployment der Pakete die Verantwortung tragen, bleibt nichts als testen, testen, testen …

  • Kritische Security-Updates für Kerberos

    Diverse Linux-Distributionen aber auch Microsoft und das Samba-Team haben Patches für ihre Betriebssysteme und Software veröffentlicht, die ein gravierendes Sicherheitsproblem im Authentifizierungsprotokoll Kerberos beheben sollen.

comments powered by Disqus

Stellenmarkt

Artikelserien und interessante Workshops aus dem Magazin können Sie hier als Bundle erwerben.