Linux-Kernel: 500 Lücken in fünf Jahren

9. September 2016, 15:57
18 Postings

Nur wenige schwerwiegend – zwischen Entstehung und Behebung vergehen im Schnitt fünf Jahre

Auch wenn viele Augen mehr sehen sind Open Source-Projekte nicht vor Sicherheitslecks gefeiht. Das gilt auch für den Linux-Kernel, der die Grundlage für viele Betriebssysteme auf diversen Plattformen – vom Internet der Dinge bis zu Servern – bildet.

Das "Kernel Self Protection Project" (KSPP), das zur Linux Foundation gehört, hat sich zum Ziel gemacht, Linux besser gegen Schwachstellen abzudichten. Aktiv ist man seit letztem Jahr, die von mehreren Firmen finanzierte Initiative analysiert auch die jüngere Vergangenheit der Linux-Entwicklung in Sachen Sicherheit.

Nur wenige kritische Lecks

Dazu liefert der dem KSPP angehörende Entwickler Kees Cook nun interessante Zahlen am Beispiel des Kernels der Distribution Ubuntu. Seiner Aussage zufolge konnten zwischen 2011 und 2016 über fünfhundert Schwachstellen gefunden werden. Davon wurde der Großteil, 334 Stück, als "mittlere Bedrohung" eingestuft. 34 Lecks wurde "hohes" Gefahrenpotenzial bescheinigt, nur zwei galten als "kritisch". 186 Lecks wurden als wenig riskant betrachtet, fasst Heise zusammen.

the linux foundation

Mehr Sicherheit für IoT-Zeitalter nötig

Problematisch ist teils allerdings die Zeit, die zwischen Entstehung und Behebung eines Lecks vergeht. Diese soll laut Cook im Schnitt bei fünf Jahren liegen. Die Absicherung des Kernels wird in Zukunft immer relevanter werden, denn die Bedeutung von Linux wird mit dem immer größeren Aufkommen an vernetzten Heimgeräten drastisch zunehmen. Und im Gegenteil zu klassischen Computern oder Smartphones seien derlei Produkte oft viel länger im Einsatz, bevor sie erneuert werden.

Cook warnt auch, dass Cyberkriminelle die Entwicklung des Linux-Kernels genau mitverfolgen. Der Quellcode der Software ist, da Open Source, für jeden frei einsehbar. Bösewichte würden entdeckte Lecks freilich aus Eigennutz geheim halten. (gpi, 09.09.2016)

Share if you care.