Wann veröffentlichen?

Wann und wie Informationen zu Sicherheitslücken veröffentlicht werden sollten, ist Thema endloser Diskussionen. Auf der einen Seite fordern Befürworter von "Full Disclosure" die sofortige und vollständige Veröffentlichung, auf der anderen plädieren vor allem Soft- und Hardware-Hersteller für Sperrfristen, um Patches zu entwickeln und zu testen.

Entgegen der weit verbreiteten Annahme, Open-Source-Entwickler befürworteten automatisch auch die sofortige Offenlegung, finden sich auch unter diesen viele, die solche Informationen nur sehr vorsichtig veröffentlichen -- und dabei auch manchmal übertreiben.

Jüngstes Beispiel dafür sind die Entwickler des Netfilter-Codes, der die Firewall-Funktionen des Linux-Kernels bereitstellt. Sie veröffentlichten am Samstag den 2.8. zwei Advisories zu Sicherheitsproblemen in ihrem Code. In dem einen findet sich der lakonische Hinweis, dass alle RedHat-Kernel der Version 2.4.20 den Patch bereits enthalten. Ein Blick auf den RedHat-Server enthüllt, dass beispielsweise die Kernelquellen von RedHat 9 (kernel-source-2.4.20-8.i386.rpm) am 13.3.2003 zusammengestellt wurden. Im April wanderte der Patch in den Vorab-Kernel 2.4.21-rc1, im Juni erschien das gefixte 2.4.21 und erst jetzt - fast fünf Monate nach dem Patch durch RedHat - informiert ein Advisory über das Problem.

So viel Zurückhaltung ist beim besten Willen nicht mehr akzeptabel. Denn viele Administratoren verwenden die offiziellen Kernel von kernel.org, haben ihre Systeme jedoch nicht auf die aktuelle Kernel-Version 2.4.21 aktualisiert, weil sie keine Notwendigkeit dafür sahen. Gerade bei wichtigen Systemen spielt man nicht ohne Not mal eben einen neu erschienenen Kernel ein. Anders als Administratoren haben aber "die bösen Jungs" genug Zeit, die entsprechenden Mailinglisten oder auch den Source-Code auf "interessante Probleme" zu scannen. Deshalb muss man davon ausgehen, dass die das Sicherheitsproblem spätestens seit der Veröffentlichung gepachter Versionen kennen. Das bedeutet im Endeffekt: Viele wichtige Linux-Systeme waren über Monate hinweg gegen ein bekanntes und vor allem beseitigbares DoS-Problem anfällig.

Man mag darüber diskutieren, ob es sinnvoll ist, Exploits zu veröffentlichen oder wieviele Tage man dem Hersteller Zeit geben sollte, Patches zu entwickeln und zu testen. Aber eines sollte klar sein: Sobald der Patch verfügbar ist, muss auch ein Advisory her, das auf das Problem aufmerksam macht und die Natur der Schwachstelle beschreibt. Nur so lässt sich sicherstellen, dass die betroffenen Systeme möglichst schnell gesichert werden. Verzögerungen von mehreren Monaten nach der Verfügbarkeit eines Patches sind unverantwortlich, erhöhen unnötig das Risiko und erschüttern das Vertrauen der Anwender. (Jürgen Schmidt)

Update: Mittlerweile hat Harald Welte vom Netfilter-Team gegenüber heise Security eingeräumt, dass sie "den Release-Termin für das Advisory verpasst haben". Das Advisory sei im April geschrieben worden und sollte eigentlich parallel zur Kernel-Version 2.4.21 erscheinen. Ich bin mir nicht sicher, ob mich das nicht noch mehr beunruhigt. (ju)