Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Security: Schwere Sicherheitslücke in…

Kleine Korrektur

  1. Thema

Neues Thema Ansicht wechseln


  1. Kleine Korrektur

    Autor: klausi_p 16.10.14 - 17:25

    Fehler im Artikel: "Die Schwachstelle besteht seit mehr als einem Jahr und war den Entwicklern wohl bekannt."

    Die Sicherheitslücke war uns (dem Drupal Security Team) nicht bekannt, sonst hätten wir sie natürlich früher geschlossen. Das Problem selbst besteht seit 4 Jahren und wurde erst im September 2014 als Sicherheitslücke von Stefan Horst identifiziert.

  2. Re: Kleine Korrektur

    Autor: jt (Golem.de) 16.10.14 - 17:33

    Meinen Informationen zufolge gabs einen Ticketeintrag im November 2013, den ich auch verlinkt habe.



    1 mal bearbeitet, zuletzt am 16.10.14 19:48 durch jt (Golem.de).

  3. Re: Kleine Korrektur

    Autor: Andre S 16.10.14 - 19:04

    Wie kann soetwas erst später als Sicherheitslücke identifiziert werden?

    Entweder es ist bekannt oder es ist unbekannt.

    Und ich glaube nicht das es diskutabel ist das eine SQL-injektion unter irgendwelchen umständen nicht als "Sicherheitslücke" identifiziert werden sollte wenn diese bekannt ist.

    Was zum henker... o.O

  4. Re: Kleine Korrektur

    Autor: Patrick Bauer 16.10.14 - 19:12

    Nur weil ein Bug bekannt ist, wird nicht gleich ersichtlich ob dieser auch eine schwerwiegende Lücke ist.

  5. Re: Kleine Korrektur

    Autor: foxylion 16.10.14 - 19:21

    Keine Ahnung ob die Bugbeschreibung nachträglich angepasst wurde, aber falls nicht, dann hätte das wohl ziemlich eindeutig als sicherheitsrelvant eingestuft werden müssen.
    https://www.drupal.org/node/2146839

  6. Re: Kleine Korrektur

    Autor: cjoy 17.10.14 - 00:06

    foxylion schrieb:
    --------------------------------------------------------------------------------
    > Keine Ahnung ob die Bugbeschreibung nachträglich angepasst wurde, aber
    > falls nicht, dann hätte das wohl ziemlich eindeutig als sicherheitsrelvant
    > eingestuft werden müssen.
    > www.drupal.org


    Ursprünglich wurde der Bug mit der Priorität "normal" und ohne expliziten Hinweis auf eine mögliche SQL Injection erstellt. Das Ticket wurde im März aktualisiert und von "Normal" auf "Major" gesetzt.

    Aktuell gibt es ca. 1900 offene Tickets mit der Priorität "Normal" und gut 200 mit der Priorität "Major". Ich will hier nichts schönreden, aber ich denke, dass es hier eine Reihe unglücklicher Umstände gegeben hat.

    1. Die kritische Natur des Problems wurde vom Reporter nicht erkannt.
    2. Als die mögliche Problematik erkannt wurde, ist mit "Major" eine viel zu bescheidene Priorität gewählt wurden, nicht nur wäre "Critical" angemessener gewesen, …
    3. … sicherheitskritische Reports (eine mögliche SQL Injection qualifiziert da fraglos) sollten stattdessen direkt an das Security Team gemeldet werden.

    Insofern mag ich dem Security Team keinen Vorwurf machen, aber man sollte überlegen, wie man es verhindern kann, dass ein ähnliches Szenario in Zukunft noch einmal unter dem Radar bleiben kann. Immerhin wurde das Issue zeitgleich mit dem change zu "Major" auch mit dem Tag #security versehen.

  7. Re: Kleine Korrektur

    Autor: klausi_p 17.10.14 - 00:37

    greggles hat dazu auch bereits ein issue gestartet, um solche Reports in Zukunft früher zu entdecken: https://www.drupal.org/node/2358243

    Ist nicht ganz einfach mit 14.000 offenen Issues für Drupal Core alleine ;-)

  8. Re: Kleine Korrektur

    Autor: SvenK. 17.10.14 - 08:40

    > Das Ticket wurde im März
    > aktualisiert und von "Normal" auf "Major" gesetzt.
    >
    > Aktuell gibt es ca. 1900 offene Tickets mit der Priorität "Normal" und gut
    > 200 mit der Priorität "Major". Ich will hier nichts schönreden, aber ich
    > denke, dass es hier eine Reihe unglücklicher Umstände gegeben hat.

    Da kann man auch nichts schönreden. Von März bis Oktober! Ich möchte nicht wissen wieviele kompromittierte Systeme auch nach dem Patch / Update noch im Umlauf sind. Oder wenn gar auch nur 1% er offenen Major Tickets eine gleiche Gewichtung hätte.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. Stromnetz Hamburg GmbH, Hamburg
  2. Gasunie Deutschland Transport Services GmbH, Hannover
  3. Versicherungskammer Bayern, München
  4. H&D Business Services GmbH, Ingolstadt, München, deutschlandweit

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote
  1. 529€
  2. täglich neue Deals bei Alternate.de


Haben wir etwas übersehen?

E-Mail an news@golem.de


Alexa: Das allgegenwärtige Ohr Amazons
Alexa
Das allgegenwärtige Ohr Amazons

Die kürzlich angekündigten Echo-Produkte bringen Amazons Sprachassistentin Alexa auf die Straße und damit Datenschutzprobleme in die U-Bahn oder in bisher Alexa-freie Wohnzimmer. Mehrere Landesdatenschutzbeauftragte haben Golem.de erklärt, ob und wie die Geräte eingesetzt werden dürfen.
Von Moritz Tremmel

  1. Digitaler Assistent Amazon bringt neue Funktionen für Alexa
  2. Echo Frames und Echo Loop Amazon zeigt eine Brille und einen Ring mit Alexa
  3. Alexa Answers Nutzer smarter Lautsprecher sollen Alexa Wissen beibringen

iPad 7 im Test: Nicht nur für Einsteiger lohnenswert
iPad 7 im Test
Nicht nur für Einsteiger lohnenswert

Auch mit der siebten Version des klassischen iPads richtet sich Apple wieder an Nutzer im Einsteigersegment. Dennoch ist das Tablet sehr leistungsfähig und kommt mit Smart-Keyboard-Unterstützung. Wer ein gutes, lange unterstütztes Tablet sucht, kann sich freuen - ärgerlich sind die Preise fürs Zubehör.
Ein Test von Tobias Költzsch

  1. iPad Einschränkungen für Apples Sidecar-Funktion
  2. Apple Microsoft Office auf neuem iPad nicht mehr kostenlos nutzbar
  3. Tablet Apple bringt die 7. Generation des iPads

Inside Bill's Brain rezensiert: Nicht nur in Bill Gates' Kopf herrscht Chaos
Inside Bill's Brain rezensiert
Nicht nur in Bill Gates' Kopf herrscht Chaos

Einer der erfolgreichsten Menschen der Welt ist eben auch nur ein Mensch: Die Netflix-Doku Inside Bill's Brain - Decoding Bill Gates zeichnet das teils emotionale Porträt eines introvertierten und schlauen Nerds, schweift aber leider zu oft in die gemeinnützige Arbeit des Microsoft-Gründers ab.
Eine Rezension von Oliver Nickel

  1. Microsoft Netflix bringt dreiteilige Dokumentation über Bill Gates

  1. Supply-Chain-Angriff: Spionagechips können einfach und günstig eingelötet werden
    Supply-Chain-Angriff
    Spionagechips können einfach und günstig eingelötet werden

    Ein Sicherheitsforscher zeigt, wie er mit Equipment für unter 200 US-Dollar mit einem Mikrochip eine Hardware-Firewall übernehmen konnte. Damit beweist er, wie günstig und realistisch solche Angriffe sein können. Vor einem Jahr berichtete Bloomberg von vergleichbaren chinesischen Spionagechips.

  2. IT an Schulen: Intelligenter Stift zeichnet Handschrift von Schülern auf
    IT an Schulen
    Intelligenter Stift zeichnet Handschrift von Schülern auf

    Stabilo und der Bund wollen einen Stift entwickeln, der Kinder bei Defiziten mit der Handschrift unterstützt. Mit Hilfe von Machine Learning und einer mobilen App analysiert das System das Geschriebene und passt Übungen an. Das Projekt ist mit 1,77 Millionen Euro beziffert.

  3. No Starch Press: IT-Verlag wirft Amazon Verkauf von Schwarzkopien vor
    No Starch Press
    IT-Verlag wirft Amazon Verkauf von Schwarzkopien vor

    Der Fachverlag No Starch Press wirft Amazon vor, Schwarzkopien von Büchern aus seinem Verlagsangebot zu verkaufen. Dabei handele es sich explizit nicht um Drittanbieter, sondern Amazon selbst als Verkäufer. Das geschieht nicht das erste Mal.


  1. 16:54

  2. 16:41

  3. 16:04

  4. 15:45

  5. 15:35

  6. 15:00

  7. 14:13

  8. 13:57