Avatar von Todeskraut
  • Todeskraut

525 Beiträge seit 20.05.2017

Re: Völlige Inkompetenz

0xCODE schrieb am 14.09.2018 12:56:

Grundsätzlich hat jedes noch so kleine Softwareproblem behoben zu werden. Diese absurde Kategorisierung zeugt nur von Unfähigkeit der Realität ins Auge zu sehen, dass selbst ein unscheinbares Softwareproblem im Zusammenspiel mit anderen Sicherheitslücken, plötzlich überaus relevant werden kann. Und das hier Sicherheitslücken in Sicherheitsmechanismen vielleicht erst mit dem nächsten großen Update geschlossen werden, anstatt sofort, spiegelt genau die Erfahrungswerte der letzten Jahrzehnte wieder. Die ganzen Sicherheitslücken nicht zu vergessen, die erst gar nicht öffentlich gemacht bzw. niemals adressiert werden, weil sie wie in der Vergangenheit schonmal angegeben wurde, schlicht zu viel Arbeit machen würden.

Und der Shitstorm war ja gross, als (da mir die Details nicht mehr im Gedächtnis waren, habe ich Wikipedia zu Rate gezogen):

"Anfang 2017 entwickelte sich eine Diskussion darüber, dass systemd Daemons mit Root-Rechten ausführt, wenn in der Konfiguration des Daemons ein mit einer Ziffer beginnender Benutzername angegeben ist. Die Sicherheitslücke wurde unterschiedlich bewertet. Seitens der Entwickler wurde erklärt, es handele sich um keinen Programmierfehler, denn derartige Benutzernamen seien auf Linux-Systemen unzulässig und es läge in der Verantwortung des Administrators, sie nicht zuzulassen. Darüber hinaus müsse ein Angreifer auf dem betroffenen System bereits Root-Rechte besitzen, um derartige Benutzernamen anlegen zu können. Der Bugreport wurde zunächst geschlossen."

Bewerten
- +
Anzeige