Hi Christoph!

So kann ich dann immer (nach Abgrasen der Security-Mailinglisten und SecurityFocus) schauen, welches Programm aktualisiert werden muss und welches warten kann.

Nein, nicht schauen, sondern entscheiden. Mitunter zerstört nämlich auch ein einfaches Sicherheitsupdate die Funktion des Programmes und mitunter ist das Sicherheitsupdate kein Code sondern eine Anleitung für eine etwas andere Benutzung des Programmes und ab und zu verursacht der Patch auch etwas völlig unvorhergesehenes.
Deshalb sind alle Patches vorher zu testen, dafür hast Du ja die lokale Kopie Deines Servers.
Jetzt ist natürlich die Frage, was Du in der Zwischenzeit machst: einfach weiterlaufen lassen? Programm abschalten? Trotzdem den Patch einspielen (vorher natürlich komplettes Backup) und beten das es hält bis der Test durchgelaufen ist?

Mit »schauen« meine ich schon »entscheiden«, ob sich ein solches Update lohnt und ob nicht irgendwelche anderen Probleme dadurch auftreten könnten. Einen wichtigen Punkt nimmt dabei - wie du schon gesagt hast - mein lokaler Testserver ein, auf dem ich wohl alles kritische erst austesten werde.

Es kommt aber auch stark auf dei Distribution an, bei Debian würde ich z.B. glatt das Letzte wählen: einfach den Patch einspielen und beten. Im Securitybulletin steht normalerweise drin, was genau gepatched wird und welche Schwierigkeiten evt zu erwarten sind. Das Risiko läßt sich heir also klein halten. Wie das bei Gentoo aussieht weiß ich nicht.

Unter Gentoo schaue ich meist auf die Online Package Database. Dort finden sich jeweils die Changelogs mit Verweisen auf die jeweiligen behobenen Bugs. Diese sind häufig ausreichend um erkennen zu können, ob nur etwas gefixt wurde oder ob größere Änderungen vollzogen wurden, die noch weitere Probleme mit sich ziehen könnten.

Naja, ich denke, dass diese Features doch mehr als nur ein Gimmick sind - zumindest dürften sie es einem Angreifer erschweren, mit einem übernommenen Server schnell was anfangen zu können.

Ja, aber das ist alles minimal, selbst in der Summe. Wenn das ohne Eingriffe in die Programmlogik eingebaut worden wäre (z.B. wie mein regelmäßiger Ersatz des Apache Versionsmeldungsstrings durch ein simples "Webserver" ) ginge das sogar noch in Ordnung, aber es wurde teils erheblich eingegriffen für einen sehr geringen Effekt. Mit ein wenig Pech schadet das mehr als es nutzt.

Du scheinst hier wohl »Security by Obscurity« anzusprechen. Wie macht man das eigentlich, dass sich in diesem String überhaupt kein »Apache« mehr findet - ein einfaches

  
ServerTokens Prod  
ServerSignature Off  

tut es ja nicht.

Danke auch für deine anderen Ausführungen!

Grüße,
Fabian St.