1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Security: Schwere Sicherheitslücke in…

Kleine Korrektur

Neue Foren im Freiraum! Raumfahrt und freie Software haben jetzt einen Platz, die Games tummeln sich jetzt alle in einem Forum.
  1. Thema

Neues Thema Ansicht wechseln


  1. Kleine Korrektur

    Autor: klausi_p 16.10.14 - 17:25

    Fehler im Artikel: "Die Schwachstelle besteht seit mehr als einem Jahr und war den Entwicklern wohl bekannt."

    Die Sicherheitslücke war uns (dem Drupal Security Team) nicht bekannt, sonst hätten wir sie natürlich früher geschlossen. Das Problem selbst besteht seit 4 Jahren und wurde erst im September 2014 als Sicherheitslücke von Stefan Horst identifiziert.

  2. Re: Kleine Korrektur

    Autor: jt (Golem.de) 16.10.14 - 17:33

    Meinen Informationen zufolge gabs einen Ticketeintrag im November 2013, den ich auch verlinkt habe.



    1 mal bearbeitet, zuletzt am 16.10.14 19:48 durch jt (Golem.de).

  3. Re: Kleine Korrektur

    Autor: Andre S 16.10.14 - 19:04

    Wie kann soetwas erst später als Sicherheitslücke identifiziert werden?

    Entweder es ist bekannt oder es ist unbekannt.

    Und ich glaube nicht das es diskutabel ist das eine SQL-injektion unter irgendwelchen umständen nicht als "Sicherheitslücke" identifiziert werden sollte wenn diese bekannt ist.

    Was zum henker... o.O

  4. Re: Kleine Korrektur

    Autor: Patrick Bauer 16.10.14 - 19:12

    Nur weil ein Bug bekannt ist, wird nicht gleich ersichtlich ob dieser auch eine schwerwiegende Lücke ist.

  5. Re: Kleine Korrektur

    Autor: foxylion 16.10.14 - 19:21

    Keine Ahnung ob die Bugbeschreibung nachträglich angepasst wurde, aber falls nicht, dann hätte das wohl ziemlich eindeutig als sicherheitsrelvant eingestuft werden müssen.
    https://www.drupal.org/node/2146839

  6. Re: Kleine Korrektur

    Autor: cjoy 17.10.14 - 00:06

    foxylion schrieb:
    --------------------------------------------------------------------------------
    > Keine Ahnung ob die Bugbeschreibung nachträglich angepasst wurde, aber
    > falls nicht, dann hätte das wohl ziemlich eindeutig als sicherheitsrelvant
    > eingestuft werden müssen.
    > www.drupal.org


    Ursprünglich wurde der Bug mit der Priorität "normal" und ohne expliziten Hinweis auf eine mögliche SQL Injection erstellt. Das Ticket wurde im März aktualisiert und von "Normal" auf "Major" gesetzt.

    Aktuell gibt es ca. 1900 offene Tickets mit der Priorität "Normal" und gut 200 mit der Priorität "Major". Ich will hier nichts schönreden, aber ich denke, dass es hier eine Reihe unglücklicher Umstände gegeben hat.

    1. Die kritische Natur des Problems wurde vom Reporter nicht erkannt.
    2. Als die mögliche Problematik erkannt wurde, ist mit "Major" eine viel zu bescheidene Priorität gewählt wurden, nicht nur wäre "Critical" angemessener gewesen, …
    3. … sicherheitskritische Reports (eine mögliche SQL Injection qualifiziert da fraglos) sollten stattdessen direkt an das Security Team gemeldet werden.

    Insofern mag ich dem Security Team keinen Vorwurf machen, aber man sollte überlegen, wie man es verhindern kann, dass ein ähnliches Szenario in Zukunft noch einmal unter dem Radar bleiben kann. Immerhin wurde das Issue zeitgleich mit dem change zu "Major" auch mit dem Tag #security versehen.

  7. Re: Kleine Korrektur

    Autor: klausi_p 17.10.14 - 00:37

    greggles hat dazu auch bereits ein issue gestartet, um solche Reports in Zukunft früher zu entdecken: https://www.drupal.org/node/2358243

    Ist nicht ganz einfach mit 14.000 offenen Issues für Drupal Core alleine ;-)

  8. Re: Kleine Korrektur

    Autor: SvenK. 17.10.14 - 08:40

    > Das Ticket wurde im März
    > aktualisiert und von "Normal" auf "Major" gesetzt.
    >
    > Aktuell gibt es ca. 1900 offene Tickets mit der Priorität "Normal" und gut
    > 200 mit der Priorität "Major". Ich will hier nichts schönreden, aber ich
    > denke, dass es hier eine Reihe unglücklicher Umstände gegeben hat.

    Da kann man auch nichts schönreden. Von März bis Oktober! Ich möchte nicht wissen wieviele kompromittierte Systeme auch nach dem Patch / Update noch im Umlauf sind. Oder wenn gar auch nur 1% er offenen Major Tickets eine gleiche Gewichtung hätte.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. Security Manager Analyse und Konzeption (w/m/d)
    EnBW Energie Baden-Württemberg AG, Karlsruhe
  2. IT-Systemadminstrator (m/w/d)
    VIVAVIS AG, Bochum, Ettlingen, Koblenz (Home-Office möglich)
  3. SAP ABAP Entwickler (m/w/x)
    über duerenhoff GmbH, Raum Hannover
  4. IT Security Spezialist (m/w/d)
    BAHAG AG, Mannheim

Detailsuche


Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. (u. a. Creative Sound Blaster Z SE für 64,99€ + 6,99€ Versand und Kingston KC2500 2 TB für...
  2. 71,39€ inkl. Abzug (Vergleichspreis 83,99€)
  3. 211,65€ inkl. Abzug (Vergleichspreis 232,94€)


Haben wir etwas übersehen?

E-Mail an news@golem.de