PATCHES
|
Übersicht
|
Einführung |
Mehr... |
Links |
RFCs |
Books
|
SICHERHEIT |
Was sind Patches?
Hotfixes, Service Packs, Option Packs... was ist denn das alles?
Wo wird man über neue Sicherheitslücken informiert?
Welche Patches brauche ich, welche habe ich schon?
Wo finde ich die Patches, die ich brauche?
Sicherheitsrisiko Patches.
Credits
|
Was sind Patches?
|
Keine Software ist perfekt. Diese Tatsache wird regelmässig von Hackern und Crackern bewiesen. Tagtäglich
melden die Sicherheitsticker neu entdeckte Sicherheitslücken sog.
Exploits in Anwendungen und Betriebssystemen. Um die entdeckten Programmfehler
zu beseitigen, müssen Programmierer den Quellcode ändern, um die Lücke zu flicken.
Den Anwendern lässt man die Bugfixes zukommen, besser bekannt als sogenannte Pachtes (zu deutsch Flickwerk).
Meist kleine ausführbare Dateien, die entsprechende Komponenten ersetzt oder durch korrigierte Routinen
überschreibt. Ist kein Patch vorhanden muss man mit bordeigenen Mittel versuchen, die Sicherheitsanfälligkeit
zu beseitigen. Aber diese sog. Workarounds sind nur provisorisch und bedeuten in manchen Fällen, auf bestimmte
zum Teil wichtige Funktionen der Anwendung oder des Betriebssystems zu verzichten. Es wird also das Symptom
beseitigt und nicht die Ursache. Als Langzeitlösung ungeeignet.
Egal, welche Motivation dahinter steckt, weit verbreitete und häufig benutzte Anwendungen sind immer ein
beliebtes Ziel und müssen ständig aktualisiert werden, da hier besonders gründlich nach Sicherheitslücken
geforscht wird. Deswegen liefern vorallem Betriebssysteme immer wieder Stoff für die Sicherheits-Webseiten.
|
Hotfixes, Service Packs, Option Packs. Was ist das alles?
|
Service Packs
Sogenannte Service Packs beinhalten gleich eine Sammlung getesteter Patches, die jeweils für ein
Betriebssystem oder Anwendung herausgegeben werden. Dabei werden von den Service Packs ältere
Systemkompnenten oder Programmbibliotheken ersetzt oder überschrieben. Neben der Beseitiung von
Sicherheitslücken, werden mit Service Packs oftmals auch neue Funktionalitäten dem Betriebssystem
hinzugefügt.
Hotfixes
Um nicht längerfristig auf Service Packs warten zu müssen, können aktuell auftretende Sicherheitslecks
durch Hotfixes beseitigt werden. Da Hotfixes als kurzfristige Lösung für spezielle und schwerwiegende
Fehler veröffentlicht werden, kann es aufgrund zeitlich eingeschränkt durchgeführter Funktions- und
Integrationstest zu ungewollten Seiteneffekten kommen. Zum Teil kann es zu Störungen mit anderen Anwendungen
kommen. In grossen Netzwerken sollte der Einsatz von Hotfixen wohl bedacht sein und zumindest vorher noch
in einer Testumgebung eingespielt werden. Gegebenfalls lassen sich hier schon gewisse Unverträglichkeiten
ermitteln oder ausschliessen.
Option Packs
Aufgrund der immer größer werdenden Datenmenge der neuen Service Packs, finden sich inzwischen
auch sogenannte Option Packs. Diese Option Packs fügen zusätzliche Komponenten und Funktionen
dem System hinzu, während Service Packs immer mehr nur noch der Fehlerbeseitigung dienen.
|
Wo wird man über neue Sicherheitslücken informiert?
|
Was wäre Heise ohne ihre Sicherheitsmeldungen? Ohne jetzt Werbung
für eine kommerzielle Website machen zu wollen, aber wer für die IT-Sicherheit eines Unternehmens
verantwortlich ist, sollte regelmässig diese Seite beobachten. Gegebenfalls müssen die Herstellerseiten der
benutzten Anwendungen regelmässig auf Update- und Sicherheitsmeldungen geprüft werden.
Eine Auswahl von Webseiten die aktuelle Sicherheitmeldungen zu einem breiten Spektrum an Anwendungen und
Betriebssystemen bringen, sind über diesen
Link zu erreichen.
Diverse Software-Hersteller sind wegen der Vielzahl an entdeckten Sicherheitslücken in ihren Produkten und
aus versicherungstechnischen Gründen dazu gezwungen, regelmässige Patchdays einzuführen. An festen Zeitpunkten
werden Patches zu den bis dahin gesammelten Sicherheitslücken veröffentlicht. Das gibt den Herstellern die
Möglichkeit ihre Patches bis zu diesem Patchday zu testen. Allerdings geht diese Strategie nicht immer auf.
Microsoft hat beispielsweise jeden zweiten Dienstag eines Monats einen Patchday angesetzt, während Oracle
einen vierteljährlichen Rhythmus für seinen Patchday eingeführt hat.
|
Welche Patches brauche ich, welche habe ich schon?
|
Zu wissen, wann man welche Patches braucht, bedeutet zu wissen, welches Soft- und Hardware man besitzt.
Weiss ein Unternehmen nicht genau welche und wieviele Anwendungen in welcher Versionierung laufen, dann
wird es höchste Zeit für eine kleine Bestandsaufnahme.
|
Wo finde ich die Patches, die ich brauche?
|
-
|
Sicherheitsrisiko Patches
|
Aufgrund der Komplexität mancher Programme und dem Zeitdruck, den die Programmierer zum Teil ausgesetzt
sind, werden Patches herausgebracht die nicht umfassend getestet wurden. So kann es passieren, dass diese
Patches bewirken, dass stattdessen an einer anderen Stelle Löcher aufgerissen werden. Häufiger aber passiert
es, dass durch das Einspielen eines Patches eine andere Anwendung nicht mehr funktioniert. Die Hersteller
testen meist ihre Patches auf ein problemfreies Zusammenspiel mit ihren eigenen Produkten.
Doch sollten gerade grosse Software-Häuser in der Verpflichtung stehen, ihre Patches auch im Zusammenspiel
mit standartisierter Fremdsoftware zu testen.
Administratoren, die die Verantwortung für ein grosses Netzwerk tragen, müssen von daher auf ein
funktionierendes
Patchmanagement aufstellen.
|
Bericht von : [ CONVEX ]
|
Überarbeitet von : -
|
|
|