Ubuntu vs. Fedora


Zu Fedora habe ich schon einige Blogposts geschrieben. Falsch war davon nichts, aber so richtig auf den Punkt gebracht war es auch nicht. Im folgenden möchte ich erläutern, wiso Fedora besser geeignet ist für Webserver als Ubuntu. Zunächst einmal unterstellen wir, dass auf dem Server das beliebte Content-Management-System WordPress laufen soll, wo der Anweder schön über das Login-Menü seinen Content pflegt. Um jetzt im Detail die Unterschiede zwischen Fedora und Ubuntu herauszuarbeiten werden mehrere Links benötigt, also nicht wundern wenn es etwas komplizierter wird.

Zunächst einmal den Blick in den Ubuntu CVE Security Tracker. https://people.canonical.com/~ubuntu-security/cve/pkg/wordpress.html listet für WordPress auf, welche CVE Exploits bekannt sind und ob sie schon gefixt wurden. Leider steht da sehr häufig „needed“ drin, was bedeutet dass der Server angreifbar ist. Klicken wir auf die letzte bekannte Sicherheitslücke https://people.canonical.com/~ubuntu-security/cve/2017/CVE-2017-9066.html gibt es nähere Informationen. Danach gibt es eine mittelschwere „redirect validation“. Sowohl in Ubuntu 14.04 LTS als auch in Ubuntu 16.04 LTS ist diese nicht gefixt. Das heißt, wenn man fleißig und regelmäßig ein „apt-get update“ auf der Commandline eintippt nützt das überhaupt nichts. Das System bleibt angreifbar und ist faktisch ungepatcht.

Jetzt schauen wir mal wie die Lage im Upstream aussieht. Auf der Homepage von WordPress https://wordpress.org/download/ ist zu lesen, dass bereits die Version 4.8 erschien wo zumindest die CVE Lücken geschlossen sind. Wenn WordPress noch Lücken hat, dann sind es Zero-Day-Exploits. Bevor wir uns Fedora anschauen wird noch ein kleiner Exkurs zu ArchLinux erlaubt sein. Laut https://www.archlinux.org/packages/community/any/wordpress/ ist dort die aktuelle WordPress Version im Einsatz. Gut gemacht. Nur leider ist ArchLinux eine Rolling-Release Distribution das heißt, theoretisch kann nach dem Update das System nicht mehr booten oder schlimmeres. Aber jetzt endlich zur Fedora Distribution.

Die Sachlage wird hier https://apps.fedoraproject.org/packages/wordpress erläutert. Es handelt sich um eine Webseite welche für die Pakete ausgibt, wie der Stand ist. Also welche Programmversion instaliert ist. Ähnlich wie bei Archlinux auch, befindet sich WordPress in der letzten Version 4.8.1 was Fixes für alle bekannten CVE Nummern beinhaltet.

Lange Rede kurzer Sinn: wer auf einem Ubuntu LTS Server WordPress nutzt hat mehrere Sicherheitslücken auf seinem System die von findigen Hackern ausgenutzt werden können. Wer hingegen Fedora oder Redhat einsetzt, nutzt ein gepatchtes System was sich am Upstream orientiert. Fedora ist besser als Ubuntu weil Fedora zeitnah Sicherheitsupdates erhält.

Advertisements

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s