Hintergrund 15.05.2008 20:43
Ein Patch in den OpenSSL-Bibliotheken hat Debian GNU/Linux und allen davon abgeleiteten Linux-Distributionen ein massives Sicherheitsloch beschert. Schuldzuweisungen sind einfach – aber lassen sich solche Probleme überhaupt vermeiden?
Shit happens – so könnte man den Ärger mit der OpenSSL-Schwachstelle bei Debian kurz zusammenfassen. Jetzt toben die Diskussionen um die Ursachen und Konsequenzen des Debakels: Wie sehr haben die Debian-Macher Mist gebaut, als sie vor zwei Jahren einen Patch in ihre OpenSSL-Version einbauten, die die Qualität der generierten Schlüssel drastisch verschlechterte? Muss es Änderungen im Entwicklungsprozess geben? Sollen Linux-Distributoren überhaupt Änderungen an der Software vornehmen, die sie aufnehmen?
So viel vorweg: Natürlich ist es eine schlechte Idee, an sicherheitskritischem Code zu fummeln, den man nicht bis ins Letzte verstanden hat. Aber: Alle Linux-Distributoren patchen die Software – schon allein, damit sie auf allen unterstützten Plattformen läuft, damit sie mit den verwendeten Bibliotheksversionen funktioniert, damit bestimmte Probleme und Fehler behoben werden. Bei wichtiger Software wie dem Kernel leisten sich Unternehmen wie Red Hat und Novell den Luxus, einige Entwickler in den Projekten zu bezahlen, um Patches direkt in den Entwicklungsprozess einbringen zu können; aber bei tausenden von Programmpaketen ist es eben auch oft nur der Paket-Maintainer beim Distributor, der den Code anpasst.
Dass gerade den Debianern dabei ein böser Patzer unterlaufen ist, ist letztlich Pech. Mag sein, dass andere Distributoren (noch) mehr Aufwand bei der Qualitätssicherung treiben; aber Fehler können überall passieren. Aus dem OpenSSL-Malheur den Schluss zu ziehen, dass speziell bei Debian etwas faul ist, geht an der Realität vorbei. Sicher gibt es dort noch Optimierungspotenzial, was die internen Prozesse und die Zusammenarbeit mit anderen Entwickler-Communities angeht; aber letztlich kochen alle nur mit Wasser.
Schließlich besteht die Dienstleistung eines Distributors doch genau darin, dafür zu sorgen, dass die enthaltenen Programme reibungslos zusammenarbeiten und möglichst fehlerfrei funktionieren. Solange nicht jeder Entwickler selbst dafür sorgt, dass sein Programm in allen Umgebungen läuft und jedem Bugreport nachgegangen wird (und welcher Entwickler ist schon bereit, diese Arbeit zu investieren?), bleibt den Distributoren gar nichts anderes übrig, als selbst Patches zu schreiben.
Und kaum jemand wird ernstlich anzweifeln, dass das in den meisten Fällen von Vorteil ist. Gerade die Debian-Community ist gut darin, Fehler aufzuspüren – wie oft bin ich schon beim Stöbern nach den Ursachen von Fehlfunktionen irgendwelcher Programme am Ende auf einer Debian-Liste gelandet, wo genau dieses Problem diskutiert wurde? Die Antwort auf das OpenSSL-Problem kann nur lauten: Ursachen ergründen, Probleme im Entwicklungsprozess beseitigen – und ansonsten weiter gute Arbeit leisten. (odi)
Version zum Drucken | Per E-Mail versenden
Permalink: http://heise.de/-221529
