Welche Distribution behebt Sicherheitslücken möglichst schnell?

[Andi07]

Hallo zusammen!

Aktuell benutze ich OpenSuse Tumbleweed, was ja durch dieses Rolling-Release mehr oder weniger aktuell sein soll.

Nun bin ich aber auf die Seite https://de.safetydetectives.com/vulnerability-tool/ gestoßen.

1. Was macht dieser Schwachstellen-Scanner?

Das Online-Werkzeug nutzt die Datenbank Common Vulnerabilities and Exposures (CVE) und stellt damit sicher, dass sich Deine Software auf dem aktuellen Stand befindet und die neuesten Sicherheits-Updates enthält.

Die CVE-Datenbank ist die weltweit größte Datenbank mit Cybersicherheits-Schwachstellen. Finden IT-Profis eine Sicherheitslücke in einem Programm finden und stopfen, senden sie normalerweise einen Bericht an die CVE-Datenbank. Alle Anwender können darauf zugreifen und die Software auf dem neuesten Stand halten.

Das Schwachstellen-Werkzeug von SafetyDetectives überprüft die Einstellungen des Betriebssystems und des Browsers und gleicht die Daten mit denen der CVE-Datenbank ab. Anhand dieser Schwachstellen und Sicherheitslücken schlägt es Updates vor.

Ohne jetzt näher darauf eingehen zu wollen, werden mir u.a. kritische und hohe Sicherheitslücken angezeigt, die seit dem Jahr 2017 oder 2018 bekannt sind.

Ist es jetzt besser, die entsprechenden Pakete herauszusuchen und sie dann zu deinstallieren?
Natürlich vorausgesetzt, das System funktioniert ansonsten noch.

Vielen Dank!


Gruß Andi

 

[AlphaKaninchen]

Mit Fedora 35 und Firefox 94 wird bei mir nix gefunden...

 

[M-X]

Hast du geschaut was für Lücken das sind. Diese generischen CVE Scanner kommen nicht immer mit allen Distros klar.

 

[soulreeper]

Mit Win10 und Vivaldi auch nichts, scheint ja ein super Scanner zu sein...

 

[Testa2014]

Das Tool soll ernsthaft gegen irgendwas helfen? Das beste ist der Virenscanner für iOS.

Wie die Website auf deinen Computer in einer Sandbox zugreifen kann, würde mich auch mal interessieren.

 

[madmax2010]

Auf der Website werden 1. Antiviren Programme empfohlen.
2. Sie empfehlen McAfee, Norton und Avira, was mit das schlimmste ist was man einem PC antun kann. Ich mein, hey, einfach mal windows XP booten und 10 torrents herunter laden, kann man da für top Sicherheit auch empfehlen.
3. Sie empfehlen Online Passwordmanager, die zum teil schonmal Kundendaten verloren haben
4. Sie kennen offensichtlich nicht den unterschied zwischen safety und security
5. Sie empfehlen VPN. U.a Cyberghost.
Ok, wo Alkohol?

Das ist eine komische Vertriebsfront mit zweifelhaften Absichten. Alle texte lesen sich als wären sie generiert worden.

 

[guzzisti]

Die Website ist FUD.

Sie hat bei mir Linux erkannt und zeigt mir 60 Sicherheitslücken an...zu Hilf, ich muss sofort zu Windows wechseln:


Schauen wir uns mal die 3 kritischen Schwachstellen an:

• supervisor hab ich nicht installiert
• ghostscript ist auf Version 9.55, bemängelt wird kleiner 9.24
• curl ist auf Version 7.79.1, bemängelt wird kleiner 7.61.1

Und so geht das weiter...Mutt/NeoMutt hab ich ebenfalls nicht installiert usw. usf.

Da lohnt sich keiner weiterer Aufwand, die Seite ist nur dazu gedacht Menschen zu verunsichern.

 

[madmax2010]

Wenn die website deine lokal installierte curl version lesen kann würde ich mir sorgen machen.

Da lohnt sich keiner weiterer Aufwand, die Seite ist nur dazu gedacht Menschen zu verunsichern.

das beschreibt diese ganze antiviren industrie ganz gut

 

[guzzisti]

Ohne jetzt näher darauf eingehen zu wollen, werden mir u.a. kritische und hohe Sicherheitslücken angezeigt, die seit dem Jahr 2017 oder 2018 bekannt sind.

Ist es jetzt besser, die entsprechenden Pakete herauszusuchen und sie dann zu deinstallieren?
Natürlich vorausgesetzt, das System funktioniert ansonsten noch.

Der fefe würde jetzt wohl was von Medienkompetenzübung erzählen.

Deine erste Aktion sollte sein, die Information der Website zu hinterfragen!
Kann sie überhaupt an die Daten kommen, die sie behauptet zu haben?
Stimmen die Daten die sie behauptet zu haben überhaupt mit deinem System überein?

Ich kenne Tumbleweed nicht, gehe aber davon aus - da es ein Rolling Release ist - das die installierten Pakete auf ähnlichen Versionsständen wie bei mir sind und die bösen Sicherheitslücken von 2017 und 2018 damit für dich irrelevant.
Ob es andere (auch unbekannte) Sicherheitslücken gibt steht natürlich auf einem anderen Blatt.

 

[madmax2010]

Ok, das lass ich mal unkommentiert so stehen.
https://www.ssllabs.com/ssltest/analyze.html?d=de.safetydetectives.com&s=2606:4700:3108:0:0:0:ac42:28e0&latest
v4 istr noch nicht durch, aber das wird sicher nicht besser:
https://www.ssllabs.com/ssltest/analyze.html?d=de.safetydetectives.com&s=172.66.43.32&latest


Was schnelle security fixes angeht:
Große Distributionen halt
Debian, Arch & Co schaffen das i.d.r in weniger als 24h

 

[guzzisti]

So, Post-Count ein bisschen nach oben treiben

Zu deiner Eingangsfrage:

Welche Distribution behebt Sicherheitslücken möglichst schnell?​

Das lässt sich mE: pauschal nicht so direkt beantworten, weil die Sicherheitslücken idR von den betroffenen Projekten behoben werden und die Distros die Aktualisierungen der Pakete "nur" bereitstellen müssen. Wie schnell etwas gefixed wird hängt also erstmal von der betroffenen Software ab und erst an zweiter Stelle von der Distro.
In der Theorie bist du mit Rolling Release (Arch, Tumbleweed) schneller mit Patches versorgt als bei Semi-Rolling oder Point-Release.

Gerade bei den großen, auch kommerziell eingesetzten, Distros werden aber Sicherheitspatches häufig auf ältere Programmversionen zurückportiert und kritische Lücken auch außerhalb der Releasezyklen ausgerollt. Daher muss - rein aus Sicht "potentielle Anzahl Sicherheitslücken" - ein Point Release nicht zwingend schlechter sein als ein Rolling Release. Im Gegenteil kann die "bleeding edge" Software auch mehr - vielleicht noch unbekannte - Sicherheitslücken enthalten als "gut abgehangene" Softwareversionen, an denen außer ein paar Fixes nicht mehr groß rumgeschraubt wird.

 

[M-X]

@madmax2010 Die Seite ist crap (also der scanner vom OP) aber ein SSL/TLS Scanner ist halt auch keine Aussage über die Seite. Sie supporten altes TLS okay, der rest sieht aber ok aus.

 

[Andi07]

Die Website ist FUD.

Sie hat bei mir Linux erkannt und zeigt mir 60 Sicherheitslücken an...zu Hilf, ich muss sofort zu Windows wechseln:
Anhang anzeigen 1143821

Schauen wir uns mal die 3 kritischen Schwachstellen an:

• supervisor hab ich nicht installiert
• ghostscript ist auf Version 9.55, bemängelt wird kleiner 9.24
• curl ist auf Version 7.79.1, bemängelt wird kleiner 7.61.1

Und so geht das weiter...Mutt/NeoMutt hab ich ebenfalls nicht installiert usw. usf.

Da lohnt sich keiner weiterer Aufwand, die Seite ist nur dazu gedacht Menschen zu verunsichern.

Hallo zusammen!

Vielen vielen Dank an euch alle!

Das oben fast das gut zusammen.

So sieht das bei mir in etwa oder genauso? auch aus.
Supervisor ist bei mir auch nicht installiert. Und Ghostscript ist bei mir auch eine weit höhere Version.

Dann lösche ich mal dieses erst erstellte Lesezeichen ganz schnell.

Und das zeigt eben auch, dass auf das System gar nicht zugegriffen wird.


Gruß Andi

 

[AlphaKaninchen]

Die Website ist FUD.

Sie hat bei mir Linux erkannt und zeigt mir 60 Sicherheitslücken an...zu Hilf, ich muss sofort zu Windows wechseln:
Anhang anzeigen 1143821

Was passiert eigentlich wenn man auf reparieren klickt?

 

[guzzisti]

Was passiert eigentlich wenn man auf reparieren klickt?

Hab ich nicht probiert. Hab die Seite mal auf ner seit längeren unbenutzten und damit nicht gepatchten Windows 8-VM aufgerufen:


Voll geil!
Wenn ein bisschen mit dem User Agent des Browsers rumspielt kann man sich schnell das gewünschte Ergebnis zusammen basteln.

 

[madmax2010]

@AlphaKaninchen Dann wird voll automatisch die RCE lücke mit dem höchsten CVE Score angewählt und es wird ne runde durchgepatched

SSL/TLS Scanner ist halt auch keine Aussage über die Seite. Sie supporten altes TLS okay, der rest sieht aber ok aus.

hmja, efahrungsgemäßist ist der Rest der Infrastruktur nicht viel besser, wenn die basics schon schwach sind. Tiefer darf man ja nicht ohne schriftlichen Auftrag gucken.

@guzzisti Skriptblocker im Browser in der VM aus?

 

[guzzisti]

@guzzisti Skriptblocker im Browser in der VM aus?

Ja.
Gleiche VM, UserAgent auf n Android Device umgestellt:

 

[andy_m4]

Nun bin ich aber auf die Seite https://de.safetydetectives.com/vulnerability-tool/ gestoßen.

Die Grundidee (also falls das tatsächlich die Idee dahinter ist) ist gar nicht so verkehrt. Für FreeBSD gibt es sowas in der Art. Das guckt halt, welche Packages/Ports Du installiert hast und vergleicht anhand der Versionsnummer, obs dafür ein Eintrag in der offiziellen CVE-Database gibt und so kannst Du schnell herausfinden, ob Du eine verwundbare Version hast.

Ich hab das jetzt nicht getestet, sondern beziehe mich jetzt im Wesentlichen auf das, was Du da von der Seite zitiert hast. Da ist von einem Online-Tool die rede. Das schließt eine sinnvolle Anwendung des Prinzips schon mal aus, weil Du kannst halt nicht via Internet gucken was lokal alles installiert ist (falls doch, dann hättest Du zumindest eine Lücke entdeckt; nämlich das Riesenloch in Deinem Browser).

Das und der Umstand, das dann noch auf irgendwelches Antivirengedöns verwiesen wird, lassen mich die Seite auf der nach oben offenen Unseriösheitsskala irgendwo zwischen Homöopathie und Feenstaub einsortieren. ;-)

 

[AlphaKaninchen]

Die PS4 hat angeblich auch keine Schwachstellen hust

 

[M-X]

hmja, efahrungsgemäßist ist der Rest der Infrastruktur nicht viel besser, wenn die basics schon schwach sind. T

Theoretisch schon aber hier ist es "nur" eine alte TLS Version und das könnte ja Absicht sein damit man auch Leute mit ganz alten Browsern abklappern kann. Also hier würden nicht gleich die Alarmglocken starten.