Melden Sie sich hier an, um auf Kommentare und die Whitepaper-Datenbank zugreifen zu können.

Kein Log-In? Dann jetzt kostenlos registrieren.

Falls Sie Ihr Passwort vergessen haben, können Sie es hier per E-Mail anfordern.

Der Zugang zur Reseller Only!-Community ist registrierten Fachhändlern, Systemhäusern und Dienstleistern vorbehalten.

Registrieren Sie sich hier, um Zugang zu diesem Bereich zu beantragen. Die Freigabe Ihres Zugangs erfolgt nach Prüfung Ihrer Anmeldung durch die Redaktion.

16.04.2004 - 

Linux unsicherer als Windows?

Distributoren wehren sich gegen Patch-Vorwürfe

MÜNCHEN (CW) - Die führenden Linux-Distributoren haben eine gemeinsame Erklärung zu einer Studie von Forrester Research und den darin festgestellten Verzögerungen beim Verteilen von Patches abgegeben. Die Schlussfolgerungen der Analysten ignorierten das Sicherheitsbemühen der Anbieter und seien "fehlerhaft".

Insbesondere wehren sich Red Hat, Suse, Mandrakesoft und Debian gegen den Vorwurf, bei der Entwicklung und Weitergabe von Patches langsamer als Microsoft zu sein. "Wir glauben, dass der Bericht Anbieter freier Software und den einzelnen Closed-Source-Anbieter nicht gleich behandelt", heißt es dazu von den Open-Source-Vertretern.

Die Analysten hätten den Fehler begangen, unterschiedlich schwere Verwundbarkeiten in einen Topf zu werfen und daraus einen Mittelwert zu bilden, der das tatsächliche Bild verzerre. "Unsere Benutzer werden wissen, dass wir auf kritische Fehler innerhalb von Stunden reagieren können", heißt es zur Entschuldigung. Weniger schwerwiegende Fälle müssten daher oft zurückgestellt werden.

Kritik üben die Distributoren auch an der Bewertung der Schwere einer Schwachstelle. Die "einfache Veröffentlichung durch eine bestimmte Sicherheitsorganisation" sei hierbei nicht ausschlaggebend. Um die Linux- und Windows-Plattformen besser vergleichen zu können, hatte Forrester sich an der Definition orientiert, die das National Institute of Standards and Technology (Nist) für seinen Schwachstellen-Index "Icat" (http://icat.nist.gov/icat.cfm) benutzt.

Aus Sicht der Linux-Distributoren stellt der "spezielle technische und organisatorische Aufwand, der im Bereich der professionellen Sicherheitsbehandlung für freie Software betrieben wird", einen "zusätzlichen Wert unserer Produkte" dar. Die Methoden der Studie ignorierten dies jedoch, was zu "fehlerhaften Schlussfolgerungen" führe. (ave)