892008

Open Source - Risikofaktor für Mac-OS X?

01.07.2002 | 13:04 Uhr |

Für Mac-OS Xstellt Apple regelmäßig Sicherheitsupdates bereit Das bedeutet jedoch nicht, dass das Betriebssystem unfertig ist.

München/Macwelt - In seinem neuen Betriebssystem Mac-OS X verwendet Apple eine Reihe an Open-Source-Komponenten, wie etwa den Webserver Apache und eine Vielzahl an Unix-Tools, die über das Terminal verfügbar sind. Seit Samstag ist nun über das Kontrollfeld Softwareaktualisierung ein neues Security-Update verfügbar, das einige Sicherheitslücken bei Apache, OpenSSH und mod_ssl schließen soll. Für einen langjährigen Mac-OS 9-Nutzer bedeuten diese häufigen Updates sicher eine Umstellung, war man doch gewohnt, sein Betriebssystem einmal zu installieren und die folgenden Jahre unverändert zu benutzen. Mit Mac-OS X ist dies anders geworden.

Ein Beispiel dafür ist das neue Update des Programms OpenSSH, das auf dem kommerziellen Tool SSH oder Secure Shell basiert. Zum Einsatz kommt das Paket, bestehend aus Programmen wie ssh, sshd, sftp oder scp beim Remote-Zugriff auf einen entfernten Server oder jeden als Server verwendeten Mac-OS-X-Rechner über Internet oder andere Netze. Die Tools des Pakets dienen dabei als Ersatz für die verbreiteten Protokolle Telnet-, Rlogin- oder das verbreitete FTP. Grundsätzlich werden nämlich beim Zugriff, etwa auf einen FTP-Server, die entsprechenden Passwörter unverschlüsselt übertragen. Hacker könnten den Datenverkehr theoretisch belauschen und so etwa an den Besitz der Zugriffscodes kommen. Aber auch für mehr Sicherheit beim Filesharing in einem Netzwerk kann man ssh verwenden.

Das neue Update behebt nun zwei Sicherheitsmängel, die vor kurzem entdeckt wurden: Bisher war es möglich, durch einen so genannten Buffer Overflow (Speicherüberlauf) in den Versionen 2.9.9 bis 3.3 Denial of Service-Attacken zu starten und Systeme dadurch zum Absturz zu bringen. Außerdem ließ sich in den Versionen 3.0 bis 3.2.3 durch einen so genannten Integer Overflow beliebiger Code auf den Rechnern ausführen. Über das Leck können Unbefugte Zugang zu entfernten Rechner mit "Root"-Rechten erlangen, sofern bei OpenSSH die "ChallengeResponseAuthentication" aktiv ist. Deaktiviert man diese entsprechend in der Datei "sshd_config" ist man wieder vor fremden Zugriffen sicher.

Auch zwei Updates für den Webserver Apache sind im Paket: Der in Mac-OS X integrierten Webservers Apache trägt jetzt die Versionsnummer v1.3.26. Für die mit Version 10.1 ausgelieferte Version 1.2.23 war kürzlich eine Sicherheitslücke bekannt worden, die einen Denial of Service-Angriff bzw. sogar die Übernahme eines Servers möglich machte. Auch eine neue Version des SSL-Verschlüsselungsmoduls mod_ssl gehört nun zum Paket.
Das Sicherheitsupdate ist für die meisten privaten Mac-OS X-Anwender nicht überlebensnotwendig, eine Installation ist jedoch trotzdem zu empfehlen. Die Sicherheitslücken sind Apple bereits seit Wochen bekannt, da die meisten Mac-OS-X-Anwender jedoch wohl wenig gefährdet waren, ist das relativ späte Update als Kompromiss zu sehen. Vermutlich will Apple ein möglichst sicheres Mac-OS X bieten, hätte Apple jedoch alle Apache-Update von Version 1.3.23 bis 1.3.23 mitgemacht, hätten sich viele Anwender über die Vielzahl an Softwareaktualisierungen beschwert. Eine Aktualisierung von Apache und OpenSSH ist für die in erster Linie betroffenen Profi-Anwender, die etwa ihren Mac intensiv als Webserver nutzen, schließlich auch ohne Apple möglich, eine ausführliche Anleitung findet sich dazu etwa auf der Homepage Stepwise von Scott Anguish. sw

Info: Apple Internet www.stepwise.com

0 Kommentare zu diesem Artikel
892008