Distributionen und Tempo der Sicherheits-Updates

Da hat die bash, die meistgenutzte Shell in allen Unix-ähnlichen Systemen, einen schweren Sicherheitsfehler. Die Meldungen überschlagen sich.
Auf heise.de erschien die Meldung gestern (Mittwoch) spätnachmittags.
Die drei von mir benutzten Distributionen waren alle anfällig, wie folgender Einzeiler (der angeblich von RedHat stammt) zeigt:
> env x='() { :;}; echo vulnerable‘ bash -c „echo this is a test“
wenn dieser Befehl (u.a.) „vulnerable“ ausgibt, ist die benutzte bash betroffen.

Schon wenige Stunden später hat mein Ubuntu das Update eingespielt.
Bei Raspbian, der von Debian abgeleiteten Distribution auf meinem Raspberry Pi, dauerte es bis in die Nachtstunden, bis das Update irgendwann nach Mitternacht erschien. Bevor ich ins Bett ging, war es noch nicht da, am Morgen war es schon gefixt, von meinem nächtlich um 2 Uhr per cron durchgeführten täglichen automatischen Update.
Erst heute Morgen bekam ich es für openSUSE. Immer noch innerhalb weniger als 12 Stunden nach der heise.de-Meldung, wie zeitnah wiederum diese an der Originalveröffentlichung war kann ich natürlich nicht sagen.

Insgesamt also sehr schnell, völlig anders, als was diese Untersuchungen über die Updategeschwindigkeit von diversen Linux-Distris gegen Windows vor ein paar Jahren suggeriert hatten (mit Responsezeiten von Wochen bis Monaten). Hab ich mir immer gedacht, dass die Studien damals völliger Quatsch waren.

Leave a Reply

You must be logged in to post a comment.