14. August 2008
Angesichts eines Sicherheitslecks im Linux-Kernel, das Mitte Juli über 370 Linux-Versionen betraf, hat der Editor des SANS-Newsletters "![[externer Link]](../../images/link.gif)
@RISK: The Consensus Security Alert" davor gewarnt, dass derartige Verwundbarkeiten in "vergessenen" oder gar unbekannten Installationen des freien Betriebssystemkerns oder anderer Open-Source-Software über längere Zeit unbemerkt fortexistieren könnten.
Viele Linux- oder OSS-Komponenten seien in Appliances oder Software-Tools eingebunden, ohne dass deren Anwender genauere Kenntnis von der verwendeten Version hätten. Insofern erscheinen die üblichen Aussagen irreführend, eine Sicherheitslücke sei behoben, sobald der Patch vorliegt – letztlich sei nichts "gefixed", bevor der Patch nicht auch installiert wurde. Alan Paller, SANS Institute Director of Research, kommentierte: "Die meisten Anbieter und Entwickler übernehmen keine Verantwortung dafür sicherzustellen, dass ihre Kunden überhaupt von allen Patches wissen, geschweige denn sie auch installieren." Paller erwartet in diesem Lichte sogar angepasste Offenlegungsrichtlinien oder -gesetze, sobald der Politik diese Lage bewusst wird.
| 