Arch Linux

Sind ältere Programmversionen stabiler?

[gelöscht]

Mir ist heute morgen ein Exploit in OpenSSL aufgefallen, und zwar der hier http://people.canonical.com/~ubuntu-security/cve/2011/CVE-2011-3207.html

Inhaltlich geht es darum, daß OpenSSL < 1.0.0 davon nicht betroffen ist (also z.B. Ubuntu), OpenSSL > 1.0.0 hingegen schon (Arch-Linux). Das bedeutet, daß die Vertreter von älteren Programmversionen auf der sicheren Seite waren, weil sie keine neuen Bugs in ihre Software aufgenommen haben und demnach ein Bollwerk gegen zusätzliche Exploit aus dem Upstream bilden. Die User von Arch-Linux hingegen, die immer auf die neueste Software setzen hatten natürlich OpenSSL in Version 1.0.0 auf ihrem System und warum damit angreifbar.

War das ein Einzelfall oder gibt es noch mehr Fälle, wo das Beharren auf altem Code dazu führt, daß die Software imun gegen Angriffe aus dem Internet ist?

P.S. Mitlerweile ist OpenSSL wieder sicher, http://www.openssl.org/news/secadv_20110906.txt

Kinch

Neue Software hat in der Regel neue Bugs und alte Software alte Bugs.

P.S. Mitlerweile ist OpenSSL wieder sicher

Ja, in einer /neuen Version/. Fällt dir der Widerspruch zu deiner Hypothese da nicht auf?

Dirk

Manuel Rodriguez schrieb[Die alte Version von OpenSSL ist unsicher gewesen, die aktuellste Version nicht mehr]

War das ein Einzelfall oder gibt es noch mehr Fälle, wo das Beharren auf altem Code dazu führt, daß die Software imun gegen Angriffe aus dem Internet ist?

Merkst du selbst, oder?

Usul

Manuel Rodriguez meint das so:

Version < 1.0.0 sicher
Version = 1.0.0 unsicher
Version > 1.0.0 wieder sicher

Seine Theorie ist jetzt, wäre man bei < 1.0.0 geblieben, hätte man keine unsichere Phase erlebt.

Die Wahrheit ist, dass man so eine Frage nicht pauschal beantworten kann. Neue Programmversionen bringen neue Features, aber auch neue Bugs in diesen Features. Aber neue Versionen bringen auch Fehlerbehebungen für alte, bekannte Bugs mit sich. Die Entscheidung, ob man auf einer alten, abgehangenen Version bleibt, muss man für jedes Programm einzeln treffen, Changelogs studieren etc.

fs4000

Wahrscheinlich ist man mit älteren Versionen und Patches alleine gegen Sicherheitslücken und Programmierfehler sicherer, sonst würde Debian ja keinen Sinn machen. Aber dass das auch keine ultimative Lösung ist, sieht man ja an Debians OpenSSL-Bug.

Creshal

(Old)stableversionen haben den Vorteil, dass am Code nicht mehr rumgeschraubt wird - also ist die Gefahr geringer, dass ein dahergelaufener Coder mit einem neuen Feature Sicherheitslücken reißt. Nur bringt einem das nur was, wenn die alte Version noch mit Sicherheitspatches für bereits existierende Lücken versorgt wird, ansonsten ist sie genauso angreifbar.

deviant

Mal darüber nachgedacht, dass Lücken in alten Versionen besser bekannt sind, als die in neuen?
Die in den neuen kennt vielleicht noch niemand, die in den alten sind aber bestens bekannt, sonst könnte man sie nicht schließen.

Eine nicht verschlossene Haustür mag ja ein Problem sein, eine nicht verschlossene Haustür von der jeder weiß dürfte aber gefährlicher sein ;-)

bernarcher

Eine Haustür, die nicht mehr richtig passt (= (zu) alte Version) kann aber noch gefährlicher (bis nutzlos) sein!
Neue Programmversionen sollten immer auch in dem Systemkontext gesehen werden, in dem sie laufen sollen.

[gelöscht]

Die Herangehensweise alt/neu solltest du nicht verallgemeinern. Es sind die Philisophien von Arch und Debian, die sich unterscheiden. Debian versucht, eine über Jahre hinweg konsistente Distribution zu haben, welche bewährte (!!) Versionen enthält, die vorher ausführlichst getestet wurden. Auf neue Features muß man hingegen lange warten.

Arch spart sich diesen Aufwand und verläßt sich auf das, was die Entwickler veröffentlichen. Das hat zur Folge, daß bekannte Problemversionen sehr schnell aktualisiert sind oder aus dem Repo fliegen, auf diesem Weg kann man sich natürlich wieder neue Probleme einfangen. Außerdem hat das zur Folge, daß immer nur der aktuelle Snapshot konsistent ist, was den Wartungsaufwand erheblich steigert. Dafür kann man recht schnell neue Features nutzen.

Ubuntu geht da eine Zwischenweg, in dem sie aller halben Jahre die meisten Programme in einer neuer Version aktualisieren, Fedora aktualisiert auch viele Programme innerhalb einer Version, jedoch nicht mehr Kernel, X und andere wichtige Bestandteile.

twi

amfs schrieb Arch spart sich diesen Aufwand und verläßt sich auf das, was die Entwickler veröffentlichen. Das hat zur Folge, daß bekannte Problemversionen sehr schnell aktualisiert sind oder aus dem Repo fliegen, auf diesem Weg kann man sich natürlich wieder neue Probleme einfangen. Außerdem hat das zur Folge, daß immer nur der aktuelle Snapshot konsistent ist, was den Wartungsaufwand erheblich steigert. Dafür kann man recht schnell neue Features nutzen.

Welchen Wartungsaufwand meinst du? Den seitens der Distriubution? Ich habe nämlich, dass gefühl das der Wartungsaufwand bei Distributionen, die selbst die Software patchen und einen stable-Zweig pflegen, deutlich höher ist als bei Arch. Das sieht man auch an der Anzahl der Debian Developer/Maintainer im vergleich zur Anzahl der Trusted Users.

Trusted Users: https://wiki.archlinux.org/index.php/Trusted_Users
Debian Developers: http://www.debian.org/devel/people
Debian Maintainers: https://nm.debian.org/dm_list.html

deviant

"Wartungsaufwand" bezieht sich hier auf den User:
Metaphorisch: Weil alles nicht vorgekaut (Pflege von stable) wird, ist das Endprodukt weniger "bekömmlich" (nötige Eigenleistung bei Problemen), schmeckt aber besser (neue Features).