image

Red Hat: Microsoft misleidt publiek met security claims

vrijdag 2 september 2005, 12:15 door Redactie, 16 reacties

Red Hat beschuldigt Microsoft ervan dat het in haar nieuwste aanval op Linux het publiek misleidt. Tijdens een recente conferentie richtte Mike Nash zich op Linux, en dan met name Red Hat. Volgens Nash zouden er tussen januari en juni 38 security bulletins voor Windows Server 2003 zijn uitgekomen, terwijl er in dezelfde periode 234 voor Red Hat Enterprise Linux 3 verschenen. Mark Cox, hoofd van Red Hat’s security response team, laat echter weten dat deze eenvoudige vergelijking niet opgaat en dat alleen het kijken naar het aantal advisories misleidend is. Microsoft vergat namelijk te melden dat er in de periode slechts twee kritieke Red Hat lekken waren.

"Op de Microsoft schaal is een lek kritiek wanneer een aanvaller een systeem kan overnemen. Windows Server 2003 had in dezelfde periode acht kritieke lekken, vier keer zoveel" zegt Cox. Ook de tijd tussen het verschijnen van een lek en een patch zou verkeerd door Microsoft worden voorgesteld.

Reacties (16)
02-09-2005, 12:28 door Anoniem
Get the facts!
02-09-2005, 13:04 door Anoniem
Niets nieuws toch van Microsoft?, zij verdrinken
waarschijnlijk in hun loze beloften / empty statements. Net
als die president aldaar.

HELP de SLACHTOFFERS van de OVERSTROMING!!

-de BrulBaviaan-
02-09-2005, 14:45 door Anoniem
Lul er maar omheen, enigste waarover gediscusseerd wordt over hoe
zwaar het weegt, niet hoeveel het er waren. Daarin had m$ gelijk. 234 is
toch ietsje meer dan 38. Fout is fout, je kan pech hebben dat de eene fout
zwaardere consequenties heeft.
02-09-2005, 15:22 door SirDice
234 is toch ietsje meer dan 38. Fout is fout, je kan
pech hebben dat de eene fout zwaardere consequenties
heeft.
Het gros van die 234 gaat over problemen met third party
software die opzich niets met Linux en/of Red Hat te maken
heeft. Als je dezelfde soort fouten voor windows mee zou
rekenen, bijvoorbeeld een probleem met MDaemon (mailserver
voor windows) kom je vast tot een andere conclusie. Wedden
dat je dan veel hoger dan 234 uitkomt?

Gewoon weer ouderwets verdraaien van cijfertjes net zolang
tot ze zelf goed uit de bus komen. Kortom FUD.
02-09-2005, 15:39 door Anoniem
Door Anoniem
Lul er maar omheen, enigste waarover gediscusseerd wordt
over hoe
zwaar het weegt, niet hoeveel het er waren. Daarin had m$
gelijk. 234 is
toch ietsje meer dan 38. Fout is fout, je kan pech hebben
dat de eene fout
zwaardere consequenties heeft.

Nee Microsoft heeft géén gelijk. Ze moeten niet de bugs in
third-party software meetellen. En dan nog trekken ze, adhv.
misleidende informatie, de verkeerde conclusie dat windows
veiliger zou zijn dan Linux (De RedHat distributie in dit
geval).
02-09-2005, 16:13 door Anoniem
Maar moeten we dan niet iis, ftp etc ook niet zien als aparte software. Dan
komen we op nog minder uit dan die 38. Eerlijk is eerlijk.
02-09-2005, 16:24 door Anoniem
Aantallen fouten, de ernst ervan en de werkelijke
mogelijkheden tot uitbuiting zijn interessant maar theorie.
Meten = weten vindt ook Bruce Schneier. Zijn bevindingen
lees je op
http://www.schneier.com/blog/archives/2005/01/linux_security_1.html.
02-09-2005, 16:49 door SirDice
Door Anoniem
Maar moeten we dan niet iis, ftp etc ook niet zien als aparte software. Dan komen we op nog minder uit dan die 38. Eerlijk is eerlijk.
Lastig maar terecht.. Al is het een feit dat een probleem in Apache niet direct toegang tot root geeft (apache draait in z'n geheel op een beperkt account). Bij IIS is dit regelmatig het geval. Als ik het goed heb is bij 2003 zelfs een stuk van IIS geintegreerd in de kernel (om performance redenen). En of dat nu zo slim is..

Maar opzich zou je, om het eerlijk te houden, alleen de fouten van het basis OS moeten vergelijken. De grote vraag blijft wat hoort nu wel en wat niet tot het basis OS.

Aan de andere kant, Apache is echt een third party t.o.v. Linux/RedHat en IIS t.o.v. MS niet. Hmmm...
02-09-2005, 17:22 door Anoniem
Toch is het vreemd dat jullie suggereren dat het bij Linux
gaat om third party software. Als dat waar zou zijn, zou Red
Hat dat ook wel genoemd hebben. Omdat ze dit niet zeggen,
zal het dus ook niet waar zijn, en staan de reagerende
security.nl bezoekers wederom voor schut wegens onwetendheid.
02-09-2005, 17:58 door SirDice
Toch is het vreemd dat jullie suggereren dat het bij
Linux gaat om third party software. Als dat waar zou zijn,
zou Red Hat dat ook wel genoemd hebben.
Waarschijnlijk bekijkt RedHat het net andersom en hebben ze
gekeken naar lekken die daadwerkelijk erg kritiek waren. Dit
om de discussie "hoort apache/IIS nu wel of niet tot het
basis OS?" direct te omzeilen.
Omdat ze dit niet zeggen, zal het dus ook niet
waar zijn
, en staan de reagerende security.nl bezoekers
wederom voor schut wegens onwetendheid.
Hmm.. Jij doet hier net zo goed een aanname zonder bewijs.

Maar je hebt gelijk...
[url=http://secunia.com/product/2535/]Red Hat ES 3[/url]
[url=http://secunia.com/product/1174/]Windows 2003 Ent.[/url]

De rest mag je zelf nakijken...
02-09-2005, 18:37 door Anoniem
Door SirDice
Waarschijnlijk bekijkt RedHat het net andersom en hebben ze
gekeken naar lekken die daadwerkelijk erg kritiek waren. Dit
om de discussie "hoort apache/IIS nu wel of niet tot het
basis OS?" direct te omzeilen.
Daar is geen discussie mogelijk. Red Hat zet Apache op zijn
install CD's, DUS kunnen we deze bugs wel meerekenen met het
OS. Als je third party software niet meerekent, kun je een
Linux Distro niet afrekenen op software fouten, omdat
bijvoorbeeld een Red Hat zelf vrij weinig software maakt.
Het gaat dan namelijk niet alleen om Apache, maar ook om de
kernel van het OS. Dit hebben zij namelijk ook niet gemaakt.

Zo zie je maar weer hoe dom het is om third party software
niet mee te rekenen. Je moet kijken naar de software die
geleverd word op de installatie cd's, want die horen bij het OS.
02-09-2005, 19:42 door Anoniem
Door Anoniem
Door SirDice
Waarschijnlijk bekijkt RedHat het net andersom en hebben ze
gekeken naar lekken die daadwerkelijk erg kritiek waren. Dit
om de discussie "hoort apache/IIS nu wel of niet tot het
basis OS?" direct te omzeilen.
Daar is geen discussie mogelijk. Red Hat zet Apache op zijn
install CD's, DUS kunnen we deze bugs wel meerekenen met het
OS. Als je third party software niet meerekent, kun je een
Linux Distro niet afrekenen op software fouten, omdat
bijvoorbeeld een Red Hat zelf vrij weinig software maakt.
Het gaat dan namelijk niet alleen om Apache, maar ook om de
kernel van het OS. Dit hebben zij namelijk ook niet gemaakt.

Zo zie je maar weer hoe dom het is om third party software
niet mee te rekenen. Je moet kijken naar de software die
geleverd word op de installatie cd's, want die horen bij het
OS.
Misschien is het nog beter om veel voorkomende, min of meer
standaard-configuraties regelmatig te beoordelen.
B.v. RHES 3.0 + Apache 2.x, W2K3 Webserver, WinXP met Office
2003, Fedora Core 4 met OpenOffice.org enz. enz.
03-09-2005, 00:03 door Anoniem
Red Hat geeft bijv advisories indien het mogelijk middels
een exploit van user naar root status te kunnen gaan. Dit
soort advisories zijn erg belangrijk als je een server hebt
met 200 gebruikers, waar er mogelijk slimme gasten/dames
tussen zitten die dingen willen proberen. Door de advisories
wordt het OS meer secure.

Over dat andere bedrijf kan ik niks uitleggen, want ik draai
het simpel niet.
03-09-2005, 18:42 door Anoniem
lekker open deurtje van red hat
03-09-2005, 21:12 door Anoniem
Door Anoniem
lekker open deurtje van red hat

Nouja, vergelijk het met de kreten die langsvliegen als je
XP installeert: "dat je veilig kunt internetten" enz. Over
misleiding gesproken.
04-09-2005, 12:00 door Anoniem
Acht kritieke lekken in een half jaar?? Ja, je moet iets verzinnen om het
weer goed te praten. : ))
Ze maken natuurlijk best goede producten, maar laten we eerlijk wezen:
we kennen microsoft zo zachtjes aan. Het is precies de regering Bush.
Of niet dan?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.