Backporting von Sicherheits-Fixes

Backporting ist eine Methode, mit der wichtige Sicherheitsupdates auf die Software angewendet werden.

Wir verwenden den Begriff "Backporting", wenn wir einen Fix für eine Sicherheitslücke aus der neusten Version eines Softwarepakets auf eine ältere Version des verfügbaren Pakets anwenden.

Backporting ist bei Anbietern wie Red Hat verbreitet und garantiert, dass wir den Kunden mit minimalem Risiko automatische Updates bereitstellen können. Backporting ist für diejenigen, die eher mit proprietären Softwareupdates vertraut sind, ein neues Konzept.

Am folgenden Beispiel wird gezeigt, wieso wir Sicherheits-Fixes als Backport zur Verfügung stellen:

Red Hat lieferte die Version 2.0.40 von Apache HTTP Server mit Red Hat Linux 8.0 aus. Kurz nach dem Release fand und veröffentlichte die Apache Software Foundation mehrere Sicherheitsprobleme. Die Apache Software Foundation gab ein neues Release heraus, Apache HTTP Server 2.0.43, das Fixes für diese Probleme enthielt. Zusätzlich zu den Sicherheits-Fixes wurden zwischen den Versionen 2.0.40 und 2.0.43 allerdings verschiedene andere Änderungen (Bug-Fixes und neue Funktionen) vorgenommen.

Eine dieser Änderungen betraf die Modulschnittstelle. Wenn Red Hat in diesem Fall die Version 2.0.40 ersetzt und ein Sicherheitsupdate mit Version 2.0.43 von Apache HTTP Server herausgegeben hätte, müssten alle Module, die die Kunden verwenden, aktualisiert (neu kompiliert) werden, damit sie mit der neuen Modulschnittstelle kompatibel sind. Kunden, die Module von Drittanbietern verwenden, müssten die Anbieter dieser Module nach Updates fragen. Der Wechsel von Version 2.0.40 zu 2.0.43 von Apache HTTP Server würde manuelles Eingreifen der Systemadministratoren erfordern. Ein solches Update wäre nicht für automatisierte Upgrade-Systeme wie Red Hat Network geeignet.

In diesen Fällen bieten wir die Updates als Backport an, dabei:

  • identifizieren wir die Fixes und trennen Sie von anderen Änderungen.
  • stellen wir sicher, dass die Fixes keine unerwünschten Nebeneffekte haben.
  • wenden wir die Fixes auf zuvor herausgegebene Versionen an.

Für die meisten Produkte stellen wir in der Regel Sicherheits-Fixes als Backport zur Verfügung. Nach sorgfältigen Tests und Analysen bieten wir allerdings manchmal auch Versionsupdates für einige Pakete an. Diese Pakete beeinflussen meistens keine anderen Pakete oder werden von einem Endbenutzer, wie einem Webbrowser oder einem Instant Messaging-Client, verwendet.

Aufbau der Release-Nummerierung

Backporting hat viele Vorteile für die Kunden; es kann aber unübersichtlich sein, wenn das Konzept nicht verstanden wird. Kunden müssen beachten, dass die Versionsnummer eines Pakets alleine nichts über die Gefährdung aussagt. So findet man zum Beispiel in der Presse Aussagen wie "Das Problem wird durch ein Upgrade auf Apache HTTP Server 2.0.43 behoben", bei denen nur die Nummer der neuen Version genannt wird. Das kann unübersichtlich sein, weil Sie nach der Installation eines aktualisierten Pakets eines Anbieters, nicht die neuste Version haben, sondern eine ältere Version, auf die Backport-Patches angewendet wurden.

Außerdem treffen einige Scan- und Audit-Tools Entscheidungen über Sicherheitslücken allein anhand der Versionsnummer der gefundenen Komponenten. Dadurch kommt es zu falschen Alarmen, da die Tools Backport-Sicherheits-Fixes nicht berücksichtigen.

Seit der Einführung von Red Hat Enterprise Linux erklären wir genau, ob wir ein bestimmtes Problem durch den Wechsel zu einer neuen Version oder durch Backport-Patches für die vorhandene Version beheben. Seit Januar 2000 enthalten alle unsere Advisorys CVE-Namen, damit unsere Kunden Sicherheitslücken, unabhängig von den Versionsnummern, leicht nachverfolgen können und herausfinden können, wann und wie wir sie behoben haben.

Wir stellen zudem OVAL-Definitionen (maschinenlesbare Versionen unserer Advisorys) zur Verfügung, mit denen Drittanbieter-Tools den Status von Sicherheitslücken ermitteln können, auch wenn die Sicherheits-Fixes als Backport geliefert wurden. Damit wollen wir Backporting transparenter machen und es den Kunden erleichtern, für sichere Systeme zu sorgen.