HWL News Bot
News
Thread Starter
- Mitglied seit
- 06.03.2017
- Beiträge
- 114.149
... weiterlesen
Follow along with the video below to see how to install our site as a web app on your home screen.
Anmerkung: this_feature_currently_requires_accessing_site_using_safari
Intel und Sicherheit.
Die letzte Lücke "Bleedingtooth" hat Intel seit Monaten für sich behalten, relevante, fertige (!) Patches nicht an die Community weitergereicht.
Golem.de: IT-News für Profis
www.golem.de
Lustig, dass du mir mangelndes Leseverständnis vorwirfst, aber scheinbar selbst keine Ahnung von dem hast, was du da eigentlich liest.Wow, trollst du oder bist du echt nicht einmal in der Lage korrekt wiederzugeben, was in einem Text steht?
- Ist dies keine Intel Sicherheitslücke
- Hat nicht nur Intel die Sicherheitslücke für sich behalten, sondern u.a. auch Google, damit genug Zeit besteht die Lücke zu fixen, bevor diese veröffentlicht wird, was ein völlig normales Vorgehen ist..
- Ist doch gerade ein Teil der Kritik, dass Intel die Lücke zu früh veröffentlicht hat
- Hat Intel die Patches bereitgestellt, aber nicht auf dem vorgesehenen Weg oder die Leute informiert. Wie erklärst du dir sonst, dass diese bei SuSE unwissentlich eingepflegt wurden?
1. Ich habe nirgends geschrieben, dass das eine "Intel"-Sicherheitslücke wäre. Es geht um Intels Sicherheitspolitik.
2. Du bist absolut null informiert. Intel hat nicht nur Patches zurückgehalten bzw. ungenügend "unter der Hand" informiert - Intel hat auch noch viel zu früh die Lücken an die Öffentlichkeit gebracht.
3. Weil du nicht lesen kannst: Intel hatte die Patches bereits seit Monaten verfügbar (die Lücke besteht wohl seit 2016), aber keine Verteilung für die Distris vorgesehen. Und deswegen JETZT zu früh bekanntgegeben.
4. Exakt - Intel hat NICHT "unter der Hand" - wie das in Sicherheitskreisen üblich ist - die Patches verteilt und dann, wenn alles halbwegs sicher ist, die Öffentlichkeit informiert.
1. Ich habe nie geschrieben, wer die Lücke entdeckt hat. Wie du immer versuchst abzulenken...
- Google hat die Lücke entdeckt und nicht Intel, aber ich bin 0 informiert.. Ok
- und 4. Intel hat die Patches gepushed aber in den falschen Branch: https://twitter.com/theflow0/status/1316499900251635718
Wie unfähig kann man denn sein? Womit wir wieder bei meinem ersten Beitrag wären. Also Dank für deine Bestätigung."Nur hat Intel vorher eben keinem der Beteiligten Bescheid gegeben. Und das, obwohl Intel seit den Meltdown-Lücken nicht nur unter kritischer Beobachtung der Linux-Kernel-Community steht, sondern diese dem Konzern sogar eine eigene verschlüsselte Infrastruktur für Sicherheitslücken erstellt hat, die sich das Unternehmen explizit selbst gewünscht hatte."
1. Ich habe nie geschrieben, wer die Lücke entdeckt hat. Wie du immer versuchst abzulenken...
2. Intel hat das komplett verbockt, ich zitiere:
Womit wir wieder bei meinem ersten Beitrag wären.
Der ja nicht wirklich korrekt ist
Intel bezahlt Forscher dafür, dass diese Sícherheitslücken in deren Hardware finden. So wo ist das Problem?
[URL='https://www.golem.de/news/bleedingtooth-aus-fehlern-lernt-intel-nicht-2010-151602.html' schrieb:Golem.de[/URL]]
Denn auch fast drei Jahre nach dem absoluten Security-Desaster rund um Meltdown scheint der Konzern immer noch nichts daraus gelernt zu haben und macht einfach weiter so wie vorher. Ganz so, als sei Security einfach nicht relevant.
[...]
[Intel hat] keinem der Beteiligten Bescheid gegeben. Und das, obwohl Intel seit den Meltdown-Lücken nicht nur unter kritischer Beobachtung der Linux-Kernel-Community steht, sondern diese dem Konzern sogar eine eigene verschlüsselte Infrastruktur für Sicherheitslücken erstellt hat, die sich das Unternehmen explizit selbst gewünscht hatte.
[...]
[Das] als Coordinated Disclosure bezeichnete Prozedere ist ein über Jahrzehnte erprobtes Modell, das meist problemlos funktioniert und eigentlich auch von allen Beteiligten akzeptiert wird. Offenbar hat Intel das System aber immer noch nicht verstanden oder ist einfach nicht willens, Sicherheitslücken wirklich ernst genug zu nehmen.
Zwar hat das Unternehmen bereits vor rund zwei Monaten Patches für die Lücken erstellt, aber allem Anschein nach haben weder Intel noch der bei Intel angestellte Bluetooth-Maintainer diese Patches irgendwie sinnvoll weitergereicht. Dafür hagelt es von vielen Kernel-Entwicklern berechtigterweise teils harsche Kritik.
[...]
Selbst der sonst eher zurückhaltende und gemäßigt argumentierende Linux-Entwickler Greg Kroah-Hartman schreibt, dass sich das Verhalten von Intel inzwischen einfach nur noch "bösartig" anfühle. Immerhin ignoriere Intel die allein für das Unternehmen erstellte Infrastruktur, so Kroah-Hartman.
[URL='https://www.golem.de/news/bleedingtooth-google-und-intel-warnen-vor-neuen-bluetooth-luecken-2010-151526.html' schrieb:Golem.de[/URL]]
Der Sicherheitsforscher Matthew Garrett, ebenfalls von Google, kritisiert derweil Intel für die frühzeitige Veröffentlichung der Schwachstellen: Es gebe weder Patches im Linux Kernel 5.9, auch wenn das zum Teil behauptet würde, noch seien die Distributionen benachrichtigt worden. So hätten diese keine rückportierten Patches auf den jeweils von ihnen eingesetzten Kernel-Versionen ausliefern können.
"Fast genau dasselbe passierte Anfang dieses Jahres", schreibt Garrett auf Twitter. Damals habe Intel ebenfalls eine Sicherheitslücke in Bluez veröffentlicht, ohne den Bescheid zu geben. Garrett habe dies dann nachträglich getan. Teil des Problems sei zudem, dass die aktuellen Patches in Bluez nicht im Mainline-Branch des Linux-Kernel gelandet seien, sondern im Next-Branch, erwidert Nguyen.
Vor besondere Probleme dürfte die Lücke IoT-Geräte auf Linux-Basis stellen, die Bluetooth aktiv verwenden: Während Linux-Distributionen die Patches verteilen, sobald sie verfügbar sind, pflegen Hersteller von Internet-of-Things-Geräten diese oft nur sehr kurz, schlecht oder gar nicht - entsprechend werden bei diesen Geräten die Lücken oftmals sehr spät oder nie geschlossen. Android hat eine eigene Bluetooth-Implementierung und ist daher nicht betroffen.
[...]
Laut dem Kernel-Log hat Intel die Patches bereits Anfang August erstellt, aber über zwei Monate nicht dafür gesorgt, dass die Linux-Distributionen darüber informiert wurden.
- Ich versuche nicht abzulenken, nur wirfst du Intel vor, dass diese die Distributoren nicht über die Lücke informiert hätten. Doch ist das auch gar nicht die Aufgabe von Intel, sondern hat Google als Entdecker der Lücke dies getan. Intel hat nur Patches für diese Lücken erstellt.
Was ist denn bitte nicht korrekt?
Genau das hier: Die letzte Lücke "Bleedingtooth" hat Intel seit Monaten für sich behalten, relevante, fertige (!) Patches nicht an die Community weitergereicht.
Das ist nicht korrekt, da
- Google die Lücken entdeckt hat und entsprechende Stellen informiert hat
- Intel Patches bereitgestellt hat, aber diese in den next anstatt mainline Branch gemerged hat: https://twitter.com/theflow0/status/1316499900251635718
Es ist immer wieder erstaunlich, wie du es schaffst, aus Sätzen plötzlich Inhalte herauszulesen, die da gar nicht stehen.Genau das hier: Die letzte Lücke "Bleedingtooth" hat Intel seit Monaten für sich behalten, relevante, fertige (!) Patches nicht an die Community weitergereicht.
Das ist nicht korrekt, da
- Google die Lücken entdeckt hat und entsprechende Stellen informiert hat
- Intel Patches bereitgestellt hat, aber diese in den next anstatt mainline Branch gemerged hat: https://twitter.com/theflow0/status/1316499900251635718
Die Patches von Intel kamen viel zu spät - und dann auch noch, wie von dir genannt, in die falsche Branch.
Dir ist aber schon bewusst, was IMHO bedeutet und wie sich das von einem Artikel abgrenzt?Also wenn dir die Argumente ausgehen, sind wir und ein renommiertes Onlinemedium doof und reimen uns was zusammen.
Intel hat es nicht gebacken bekommen. Du brauchst also gar nicht versuchen, uns der Dichtkunst zuzuschreiben, nur weil dir die Argumente ausgehen.
Hier machst du es doch direkt wieder ->Wir reimen uns zusammen
Weil diese auch nur aus 2-3 Leuten besteht. Alles klarDas sieht fast die komplette Linux-Kernel-Community so.
Ist auch nur etwas, was der Meinung des Autors in seinem Kommentar zu der Angelegenheit entspricht. 🤷♂️Und genau dieses Licht steht seit Meltdown & Co. ziemlich schief.
Ist auch nur etwas, was der Meinung des Autors in seinem Kommentar zu der Angelegenheit entspricht. 🤷♂️
Nur hat dieser nichts verlauten lassen, was auf die Aussage von dem Autor - obwohl Intel seit den Meltdown-Lücken nicht nur unter kritischer Beobachtung der Linux-Kernel-Community steht - schließen lässt. Dies kommt lediglich von dem Autor.Mit der kleinen unbedeutenden Tatsache, dass dessen Meinung sekundiert wird u.A. von einem Google-Sicherheitsforscher und einem der prominentesten Linux-Kernel Entwickler. Kann man ja getrost vernachlässigen!
Nein 5.10 wird nicht benötigt, sondern können die Patches auch für ältere Kernels backported werden.Die Patches sind wohl entgegen kolportierter Meldung Intels in 5.9 immer noch nicht verhanden, sondern benötigen nun 5.10, das Dez. 2020 releast werden soll.
Bravo, Intel!
Du bringst ja keine Fakten 🤷♂️Komme ihm gar nicht erst mit Fakten.
Nichts weiter als Polemik.Insbesondere die bedeutungslosen Forscher bei Google oder Entwickler in der Linux Kernel Community haben doch gar keine Ahnung im Vergleich zu Paddy92.
Nur hat dieser nichts verlauten lassen, was auf die Aussage von dem Autor - obwohl Intel seit den Meltdown-Lücken nicht nur unter kritischer Beobachtung der Linux-Kernel-Community steht - schließen lässt. Dies kommt lediglich von dem Autor.
Grag Kroah-Hartman schrieb:Intel knows better, and knows how to do this properly, this feels malicious at this point...
Nein 5.10 wird nicht benötigt, sondern können die Patches auch für ältere Kernels backported werden.
Nein?Äh, doch?
Da wird nur aufgelistet welche stable Kernels ein Update mit den Patches erhalten haben und nicht, wo dies möglich ist.Stimmt nicht generell. Gilt nur für: 5.9.1, 5.8.16, 5.4.72, 4.19.152, 4.14.202, 4.9.240.
Auch wenn ein Entwicklerteam dort mal menschliche Fehler macht [...]
Dagegen sage ich doch nichts. Ich korrigiere lediglich deine überspitzten Aussagen.Paddy92, dein ganzes Palaver ändert nichts daran, dass sowohl Google als auch die Linux-Kernel-Entwickler das Verhalten Intels kritisieren.
Nur war deine anfängliche Behauptung, dass Intel die Patches zurückgehalten hätte. Das ist etwas anderes als -> Patches verteilt, aber in falschen Branch..Dass sie die Patches teilweise etwas früher ohne Kommunikation auf falschen Wegen verteilt haben, macht die Sache an der Stelle überhaupt nicht besser, siehe SuSE.
Klar, deswegen springst du auch von der über dramatisierten Aussage - Patches zurückgehalten - zu - Patches verteilt, aber falsch.Das Einzige, was du kannst, sind deine Versuche, die Aussagen anderer zu zerreden. Erfolglos wie man sieht.
Und noch einer, der wissentlich verschweigt, dass man für Intel eine separate, verschlüsselte Infrastruktur geschaffen hat, um genau solche Fehler zu umschiffen.und sich nicht an die allgemein bekannte FOSS Netiquette hält
Nochmal nur für dich:Nur war deine anfängliche Behauptung, dass Intel die Patches zurückgehalten hätte. Das ist etwas anderes als -> Patches verteilt, aber in falschen Branch..
Noch einmal für dich: Du zitierst einen IMHO-Kommentar, welchen golem explizit von den eigentlichen Artikeln abgrenzt. Das ist einfach nur die Meinung von einem Schreiberling, der sich da was aus Tweets zusammen reimt. Der ist nicht einmal in der Position zu beurteilen, ob die Verteilung wirklich sinnvoll war.Nochmal nur für dich:
Noch einmal für dich: Die Patches wurden weitergereicht und das schon im AugustNicht (sinnvoll) weiterreichen nennt man auch zurückhalten.
Dafür melden sich aber ziemlich wenig Leute zu Wort. Nicht einmal die größte Heulsuse Torvalds heult rum, wie er es doch sonst immer tut....Jeder, der auch nur im Entferntesten mit der Betreuung einer Linux-Umgebung betraut ist, kotzt gerade so richtig.
Und noch einer, der wissentlich verschweigt, dass man für Intel eine separate, verschlüsselte Infrastruktur geschaffen hat, um genau solche Fehler zu umschiffen.
Weit weg von "allgemein bekannter FOSS Netiquette". Also einfach mal bei der Wahrheit bleiben, gelle?
Beitrag automatisch zusammengeführt:
Jo stimmt, Bluetooth ist bestimmt in vielen Server/Container-Farmen verbaut, oder nutzen heute echt schon die meisten Firmen Linux als reguläre MA-Plattform ?Ich bin ja nicht der einzige, der das so anprangert. Jeder, der auch nur im Entferntesten mit der Betreuung einer Linux-Umgebung betraut ist, kotzt gerade so richtig.