Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 31 reacties

De afgelopen weken zijn twee bugs ontdekt in GNU Privacy Guard, ook wel bekend als GnuPG of GPG, zo heeft de GnuPG Group bekendgemaakt in twee berichten. GnuPG wordt onder meer met een groot aantal *nix'en en BSD's meegeleverd als vervanger voor de cryptografische software van Pretty Good Privacy. Het eerste lek is gevonden door een Gentoo Linux-projectlid en kan ervoor zorgen dat een gecontroleerd bestand onterecht als veilig bestempeld wordt als er gebruikgemaakt wordt van de non-interactieve opties van de GnuPG-software. Een patch voor dit probleem werd op 15 februari gepubliceerd. De tweede bug werd een paar dagen later ontdekt en gepatcht. Zonder deze patch is het mogelijk extra data aan een bestand toe te voegen en GnuPG te laten denken dat het bestand ongewijzigd is. Deze bug treedt alleen op als er gebruikgemaakt wordt van 'attached signatures'.

GnuPG logoDoordat de GnuPG-software zoveel gebruikt wordt in onder meer *nix- en BSD-distributies bestaat de mogelijkheid dat digitale handtekeningen onbruikbaar worden voor hun oorspronkelijke doel. Het is namelijk mogelijk om zonder dat de GPG-software het doorheeft data aan een bestand of e-mail toe te voegen, aldus Tavis Ormandy van het Gentoo Linux-securityteam. Door de ontdekte lekken kan er niet meer op vertrouwd worden dat data authentiek is. Aangezien voor beide bugs patches beschikbaar zijn, is iedereen opgeroepen de bijgewerkte software te installeren zodat veiligheidsproblemen voorkomen kunnen worden. Onder meer Gentoo, Debian en Ubuntu en Novell hebben al bijgewerkte pakketten online geplaatst.

Moderatie-faq Wijzig weergave

Reacties (31)

Volgens mij heeft Debian ook al een update beschikbaar, te installeren met apt-get
je doet inderdaad regelmatig een 'apt-get update' gevolgd door een 'apt-get dist-upgrade', en je bent weer helemaal up to date.. I love Debian :)
Windows update update mijn OS vanzelf, zonder command console. I love Windows. :P

Het valt me toch op hoe hier alles onder Linux geweldig wordt genoemd. Veiligheidlek in Linux? Conclusie is "I love Debian". Veiligheidslek in MaxOS? "Goed dat ze de patch zo lang testen voor ze hem uitbrengen". Veiligheidslek in Windows? "Micro$oft maakt alleen maar troep".

edit: @Olaf & racoontje:
Jullie hebben inderdaad een punt dat onder Linux het hele systeem wordt geupdate (als je de juiste paketten gebruikt). Dat is inderdaad een voordeel, en de bug zat niet in linux zelf. Toch stoort het me dat mensen bij veiligheidsfouten in niet-MS-programma's veel minder kritisch zijn dat wanneer het software van MS.
Ik weet niet of je een troll bent of niet, ik ga er maar even van uit van niet,....
Windows update update mijn OS vanzelf, zonder command console.
Totdat het systeem daardoor kapot gaat is dat prachtig, daarna niet meer. Prima als het werkt, maar gebruikersinvloed in updates is zeker niet verkeerd.
Het valt me toch op hoe hier alles onder Linux geweldig wordt genoemd. Veiligheidlek in Linux? Conclusie is "I love Debian".
Nee, geen veiligheidslek in Linux. Eigenlijk zelfs geen veiligheidslek in GPG, maar alleen in de manier waarop GPG toegepast wordt.
Toch zorgen Linux distro's ervoor dat hun gebruikers de juiste fixes krijgen.
En: men wordt op de hoogte gehouden, ipv dat men 3 maanden later te horen krijgt: deze fix/patch moet iedereen inspelen, want ...
Toch stoort het me dat mensen bij veiligheidsfouten in niet-MS-programma's veel minder kritisch zijn dat wanneer het software van MS.
Tsja, MS speelt per maand 1000 miljoen dollar op hun bankrekening erbij, als een stel amateurs/liefhebbers het dan alsnog beter doet is dat triest.
Als je als linux gebruiker daar behoefte aan hebt, dan zet je dat commando toch gewoon in een cron job? Dan gaat het ook automagisch.
Persoonlijk heb ik dat liever niet, maar het is totaal geen probleem om je systeem automatisch te laten updaten. Ik doe zelf wel gewoon af en toe een strategisch "emerge".
Waarom mensen minder kritisch zijn? Ik weet wel een aantal redenen.

- Microsoft is monopolist/heeft het grootste marktaandeel. Dat schept verplichtingen. In OSS-wereld wordt veel door vrijwilligers gedaan, Apple heeft niet zo'n groot marktaandeel.
- Nog belangrijker, Microsoft heeft gigantisch veel werknemers in dienst in vergelijking met Mac OS X en Linux, en ook gigantisch veel geld. Daarom zou het voor MS veel makkelijker moeten zijn om bugs te fixen.

Het tegenargument is dan weer dat MS software het meest gebruikt is, en "given many eyes, all bugs are shallow" geldt dan. Vanwege het grote marktaandeel is het lucratiever voor kwaadwillenden om kwaadaardige software voor MS Windows te schrijven. Tegenargument op dit tegenargument is dan weer dat MS software niet open source is i.t.t. Unix/Linux/BSD, dus is het in theorie moeilijker om bugs te vinden. IMO heffen deze argumenten elkaar op.


Dat is mijn redenatie. Ik kom tot de conclusie dat Microsoft in vergelijkbare gevallen meer is te verwijten.
Oud nieuws: die update heb ik al een paar dagen geleden geinstalleerd :P.
Windows update update mijn OS vanzelf, zonder command console.
Mijn windows 98 update helemaal niet meer, of ik het nu wil of niet. Ik had windows nog geinstalleerd om mijn websites te testen, maar nu zit ik met IE 5 opgescheept :(.
Windows update update mijn OS vanzelf, zonder command console. I love Windows.
Sinds wanneer levert MS (patches voor) GPG?
Microsoft patcht andere mensen hun software niet.
Dat stond er eerst nog niet ;)
Voor de Windows-gebruikers van GnuPG:

GnuPG 1.4.2.2
GnuPG1.4.2.2 signature
Gentoo heeft de update al een paar daagjes (sinds 08-03-2006) in de portage staan, upgraden is dus mogelijk :)

Waarom dit frontpage nieuws is vind ik alleen wat vreemd, het vorige lek (10-02-2006) werd ook niet geplaatst.
Wat ik ook niet snapt is dat er geen submitter is van dit nieuws? Meestal komt T.Net niet zo met NOS-nieuws uit zichzelf :?
En kan de niet-bijgewerkte software nog gebruiken om alsnog bestanden aan te passen, of is het de bedoeling dat je geheel nieuwe keys aanmaakt die alleen in de nieuwe versie werkt?
Het probleem is niet de snelle patches maar het feit dat in feite essentiele veiligheidsoftware zulke grote gaten bevat. Juist bij dit soort software vertrouwen de gebruikers op de hoge veiligheid die het product biedt.

De schade die dergelijke bugs hebben gedaan zit meer in de reputatie van het product dan in mogelijk misbruik door cybercriminelen
Noem jij eens software dat per definitie veilig is?
Hello world! misschien? ;)
Hoeveel gebruikers zien het denk je, dat een applicatie onveilig is door een gebruikte library? Nul.

Even los van Hello World, als een applicatie een bug bevat of crashed of onveilig is of wat dan ook ligt dat vanuit de gebruiker gezien aan de applicatie, niet aan eventuele libraries.
Hello world! misschien?
en zelfs die niet als je een include doet met een security-lek.

#include <stdio.h>

bijvoorbeeld.
en zelfs die niet als je een include doet met een security-lek.

#include <stdio.h>

bijvoorbeeld.
dan is de libc niet veilig, maar je hello world applicatie foutloos :) Het gaat natuurlijk om de software waar de bug zit ;)
Het maakt niet uit dat bugs in software waarschijnlijk altijd mogelijk zullen zijn maar wat wel uit maakt is de aard van de bugs en de perceptie die deze bugs op een specifike product werpen.

Bij een security product zullen alle bugs die de directe security die het product levert betreffen en daarmee de gebruiker compromitteren als zeer ernstig worden beschouwd en enorme schade aan de reputatie van het product toebrengen.
Juist bij dit soort software vertrouwen de gebruikers op de hoge veiligheid die het product biedt.
mensen die echte hoge eisen hebben aan veiligheid gebruiken sowieso niet de non-interactive modus van GPG. Daarnaast denk ik dat diezelfde gebruikers het erg op prijs stellen dat er snel melding wordt gemaakt, snel een patch beschikbaar is, en vooral dat er volledig open kaart wordt gespeeld omtrend het probleem.
De schade die dergelijke bugs hebben gedaan zit meer in de reputatie van het product dan in mogelijk misbruik door cybercriminelen
Ook dat is maar hoe je het bekijkt. OpenSSH's reputatie heeft ook niet veel ingeboet nadat bekend werd dat hun ftp servers compromised werden en via die weg rootkit-varianten van de SSH software werd verspreid.
Unox, the worst operating system.
Ook bij (K|X|Ed)ubuntu waren twee dagen geleden geüpdatet pakketten te verkrijgen, wat dat betreft is het erg snel gefixed :)
Tja, dat krijg je met Open Source. Er kan zo maar een security bug in zitten.
Natuurlijk kan daar ook een security bug in zitten, logisch, elke stuk software bevat bugs ;)
Maar gelukkig is het ook snel gefixed en hoef je niet te wachten tot het bedrijf wat de software maakt het nodig vind om een patch te releasen maar is dit te doen vrijwel direct nadat de patch gemaakt en getest is :) Dat is dan weer een voordeel voor Open Source.
En closed source is absoluut veilig. Kijk maar naar Windows ;)
Doe mij maar een biertje en wat nootjes.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True