Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Security: Schwere Sicherheitslücke in…

Kleine Korrektur

  1. Thema

Neues Thema Ansicht wechseln


  1. Kleine Korrektur

    Autor: klausi_p 16.10.14 - 17:25

    Fehler im Artikel: "Die Schwachstelle besteht seit mehr als einem Jahr und war den Entwicklern wohl bekannt."

    Die Sicherheitslücke war uns (dem Drupal Security Team) nicht bekannt, sonst hätten wir sie natürlich früher geschlossen. Das Problem selbst besteht seit 4 Jahren und wurde erst im September 2014 als Sicherheitslücke von Stefan Horst identifiziert.

  2. Re: Kleine Korrektur

    Autor: jt (Golem.de) 16.10.14 - 17:33

    Meinen Informationen zufolge gabs einen Ticketeintrag im November 2013, den ich auch verlinkt habe.



    1 mal bearbeitet, zuletzt am 16.10.14 19:48 durch jt (Golem.de).

  3. Re: Kleine Korrektur

    Autor: Andre S 16.10.14 - 19:04

    Wie kann soetwas erst später als Sicherheitslücke identifiziert werden?

    Entweder es ist bekannt oder es ist unbekannt.

    Und ich glaube nicht das es diskutabel ist das eine SQL-injektion unter irgendwelchen umständen nicht als "Sicherheitslücke" identifiziert werden sollte wenn diese bekannt ist.

    Was zum henker... o.O

  4. Re: Kleine Korrektur

    Autor: Patrick Bauer 16.10.14 - 19:12

    Nur weil ein Bug bekannt ist, wird nicht gleich ersichtlich ob dieser auch eine schwerwiegende Lücke ist.

  5. Re: Kleine Korrektur

    Autor: foxylion 16.10.14 - 19:21

    Keine Ahnung ob die Bugbeschreibung nachträglich angepasst wurde, aber falls nicht, dann hätte das wohl ziemlich eindeutig als sicherheitsrelvant eingestuft werden müssen.
    https://www.drupal.org/node/2146839

  6. Re: Kleine Korrektur

    Autor: cjoy 17.10.14 - 00:06

    foxylion schrieb:
    --------------------------------------------------------------------------------
    > Keine Ahnung ob die Bugbeschreibung nachträglich angepasst wurde, aber
    > falls nicht, dann hätte das wohl ziemlich eindeutig als sicherheitsrelvant
    > eingestuft werden müssen.
    > www.drupal.org


    Ursprünglich wurde der Bug mit der Priorität "normal" und ohne expliziten Hinweis auf eine mögliche SQL Injection erstellt. Das Ticket wurde im März aktualisiert und von "Normal" auf "Major" gesetzt.

    Aktuell gibt es ca. 1900 offene Tickets mit der Priorität "Normal" und gut 200 mit der Priorität "Major". Ich will hier nichts schönreden, aber ich denke, dass es hier eine Reihe unglücklicher Umstände gegeben hat.

    1. Die kritische Natur des Problems wurde vom Reporter nicht erkannt.
    2. Als die mögliche Problematik erkannt wurde, ist mit "Major" eine viel zu bescheidene Priorität gewählt wurden, nicht nur wäre "Critical" angemessener gewesen, …
    3. … sicherheitskritische Reports (eine mögliche SQL Injection qualifiziert da fraglos) sollten stattdessen direkt an das Security Team gemeldet werden.

    Insofern mag ich dem Security Team keinen Vorwurf machen, aber man sollte überlegen, wie man es verhindern kann, dass ein ähnliches Szenario in Zukunft noch einmal unter dem Radar bleiben kann. Immerhin wurde das Issue zeitgleich mit dem change zu "Major" auch mit dem Tag #security versehen.

  7. Re: Kleine Korrektur

    Autor: klausi_p 17.10.14 - 00:37

    greggles hat dazu auch bereits ein issue gestartet, um solche Reports in Zukunft früher zu entdecken: https://www.drupal.org/node/2358243

    Ist nicht ganz einfach mit 14.000 offenen Issues für Drupal Core alleine ;-)

  8. Re: Kleine Korrektur

    Autor: SvenK. 17.10.14 - 08:40

    > Das Ticket wurde im März
    > aktualisiert und von "Normal" auf "Major" gesetzt.
    >
    > Aktuell gibt es ca. 1900 offene Tickets mit der Priorität "Normal" und gut
    > 200 mit der Priorität "Major". Ich will hier nichts schönreden, aber ich
    > denke, dass es hier eine Reihe unglücklicher Umstände gegeben hat.

    Da kann man auch nichts schönreden. Von März bis Oktober! Ich möchte nicht wissen wieviele kompromittierte Systeme auch nach dem Patch / Update noch im Umlauf sind. Oder wenn gar auch nur 1% er offenen Major Tickets eine gleiche Gewichtung hätte.

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. Versandhaus Walz GmbH, Bad Waldsee
  2. Hochschule Furtwangen, Furtwangen
  3. Verbraucherzentrale Baden-Württemberg e. V., Stuttgart
  4. abilex GmbH, Ditzingen

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. 3,99€
  2. 4,99€
  3. 39,99€
  4. (-78%) 7,77€


Haben wir etwas übersehen?

E-Mail an news@golem.de


Sicherheitslücken: Zombieload in Intel-Prozessoren
Sicherheitslücken
Zombieload in Intel-Prozessoren

Forscher haben weitere Seitenkanalangriffe auf Intel-Prozessoren entdeckt, die sie Microarchitectural Data Sampling alias Zombieload nennen. Der Hersteller wusste davon und reagiert mit CPU-Revisionen. Apple rät dazu, Hyperthreading abzuschalten - was 40 Prozent Performance kosten kann.
Ein Bericht von Marc Sauter und Sebastian Grüner

  1. Open-Source Technology Summit Intel will moderne Firmware und Rust-VMM für Server
  2. Ice Lake plus Xe-GPGPU Intel erläutert 10-nm- und 7-nm-Zukunft
  3. GPU-Architektur Intels Xe beschleunigt Raytracing in Hardware

Das andere How-to: Deutsch lernen für Programmierer
Das andere How-to
Deutsch lernen für Programmierer

Programmierer schlagen sich ständig mit der Syntax und Semantik von Programmiersprachen herum. Der US-Amerikaner Mike Stipicevic hat aus der Not eine Tugend gemacht und nutzt sein Wissen über obskure Grammatiken, um Deutsch zu lernen.
Von Mike Stipicevic

  1. Programmiersprachen, Pakete, IDEs So steigen Entwickler in Machine Learning ein
  2. Software-Entwickler Welche Programmiersprache soll ich lernen?

Lightyear One: Luxus-Elektroauto fährt auch mit Solarstrom
Lightyear One
Luxus-Elektroauto fährt auch mit Solarstrom

Ein niederländisches Jungunternehmen hat ein ungewöhnliches Fahrzeug entwickelt, das Luxus und Umweltfreundlichkeit kombiniert. Solarzellen auf dem Dach erhöhen die Reichweite um bis zu 220 Kilometer.
Von Wolfgang Kempkens

  1. EZ-Pod Renault-Miniauto soll Stadtverkehr in Kolonne fahren
  2. Elektromobilität EnBW will weitere 2.000 Schnellladepunkte errichten
  3. Elektromobilität Verkehrsminister will Elektroautos länger und mehr fördern

  1. Sony ZG9: Erste 8K-Fernseher werden bald verkauft
    Sony ZG9
    Erste 8K-Fernseher werden bald verkauft

    In den nächsten Wochen wird Sony eine neue Generation an Fernsehern an den Handel ausliefern. Die 85 und 98 Zoll großen Smart-TVs mit sehr hoher Auflösung werden allerdings einen fünfstelligen Betrag kosten und dank der Leistungsaufnahme im Kilowattbereich auch langfristig teuer.

  2. T-Online-Navigationshilfe: Telekom beendet DNS-Hijacking nach Strafanzeige
    T-Online-Navigationshilfe
    Telekom beendet DNS-Hijacking nach Strafanzeige

    Die Telekom beendet bei ihren Internetzugängen die Praxis, Anfragen nach nichtexistenten Domainnamen auf eine Navigationshilfe eines Drittanbieters weiterzuleiten. Der Hintergrund ist eine Strafanzeige eines Nutzers.

  3. Gaming: Tesla integriert Unity und Unreal Engine in seine Autos
    Gaming
    Tesla integriert Unity und Unreal Engine in seine Autos

    Unterhaltung für Staus und andere Wartezeiten: Tesla-Chef Elon Musk hat angekündigt, das Spieleangebot in seinen Elektroautos deutlich zu vergrößern. Dazu werden zwei wichtige Spiele-Engines angepasst.


  1. 15:00

  2. 14:38

  3. 14:23

  4. 14:08

  5. 13:51

  6. 13:36

  7. 12:45

  8. 12:30