Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Sicherheit: Joomla-Lücke könnte…

Sicherheitslücken werden nicht erst durch ihre Ausnutzbarkeit zur Sicherheitslücke

Anzeige
  1. Thema

Neues Thema Ansicht wechseln


  1. Sicherheitslücken werden nicht erst durch ihre Ausnutzbarkeit zur Sicherheitslücke

    Autor: Vanger 29.10.16 - 13:35

    Was ist das denn für ein Verständnis von Security das von den Joomla-Entwicklern an den Tag gelegt wird? Eine Sicherheitslücke ist eine Sicherheitslücke, vollkommen egal ob die akut ausnutzbar ist oder nicht, und muss gefixt werden! Ein Bugfix durch den eine Sicherheitslücke ausnutzbar wird ist kein Angriff, die Sicherheitslücke war schon lange da. Was für ein Frickel-Projekt ist das denn? Selten so einen Blödsinn gelesen.

  2. Re: Sicherheitslücken werden nicht erst durch ihre Ausnutzbarkeit zur Sicherheitslücke

    Autor: jooag 29.10.16 - 14:09

    Das was du schreibst behauptet doch keiner. Eine Sicherheitslücke ist eine Sicherheitslücke. Wo steht das denn, das Joomla Entwickler, eine Sicherheitslücke nicht als Sicherheitslücke definiert haben sollen? Das als Frickel-Projekt zu bezeichnen ist hart und wird diesem und anderen CMS und der FLOSS Community nicht gerecht.

  3. Re: Sicherheitslücken werden nicht erst durch ihre Ausnutzbarkeit zur Sicherheitslücke

    Autor: Mithrandir 29.10.16 - 15:44

    jooag schrieb:
    --------------------------------------------------------------------------------
    > Das
    > als Frickel-Projekt zu bezeichnen ist hart und wird diesem und anderen CMS
    > und der FLOSS Community nicht gerecht.

    Ich würde auf seinen Kommentar nicht viel geben. Solche Leute wissen im Regelfall nicht, wovon sie reden, sondern stänkern lieber herum. Vielleicht sollte sich der OP einmal an einem
    großen Projekt beteiligen, dann sieht er das Ganze mit anderen Augen.

  4. Re: Sicherheitslücken werden nicht erst durch ihre Ausnutzbarkeit zur Sicherheitslücke

    Autor: Vanger 29.10.16 - 16:14

    Was ich im Übrigen tue, und das nicht nur als Externer.

    Sicherheit ist eine Frage der Einstellung - und der Artikel vermittelt den Eindruck, dass die Einstellung des Joomla-Projekts ist, dass das bisher keine Sicherheitslücke gewesen sei weil sie ja nicht ausnutzbar war. Es gab ja überhaupt kein Problem! Vielmehr habe dieser böse Bugfix, der dann auch noch ein Angriff eines "Hackers" gewesen sein soll, das ganze überhaupt erst zu einem Problem gemacht.

    Nein hat er nicht! Die Sicherheitslücke war von Anfang an da und der Bugfix hat nichts, überhaupt rein gar nichts mit dieser Sicherheitslücke zu tun. Das sind dumme Ausreden und Relativierungen, mehr nicht.

    Sicherheitslücke gefunden? Fixen und kommunizieren, dass man Mist gebaut hat! Keine dämlichen Ausreden und Verschwörungstheorien vorschieben. Aber es ist ja heute trendy irgendwelche Hacker zu beschuldigen... "Ich kann doch nichts dafür, das waren diese bösen Hacker!"

  5. Re: Sicherheitslücken werden nicht erst durch ihre Ausnutzbarkeit zur Sicherheitslücke

    Autor: mxrd 29.10.16 - 16:25

    Vanger welchen Artikel hast du eigentlich gelesen? Welches Thema wurde hier behandelt?

    Du willst oder kannst nicht verstehen, dass es hier eben nicht um die Einstellung der Joomla Entwicklung geht oder deren Relativierung, dass diese Lücke nur neuerdings ausgenutzt werden kann. Diese Relativierung ist wichtig, bevor 15 Millionen Webseiten-Betreiber in Panik ausbrechen - diese Information ist 100% relevant, wichtig und muss so getroffen werden.

    Der Artikel hat als Fokus nichtmal das, sondern die Sabotage - aber das interessiert dich einfach nicht. Du hast dir irgend eine Idee gesponnen und nun fährst du einfach gerade aus - Scheuklappen auf - oder?

    Der Account wurde an dem Tag erstellt, an dem der PR eingerichtet worden ist - und danach nie wieder benutzt. Das ist auf jeden Fall fishy - hin oder her.

    Man möchte einfach bewusst machen, dass ganz neue Möglichkeiten bestehen, Exploits zu schaffen, durch Contributions - in diesem Fall sieht es sehr danach aus, als wurde der Fix explizit eingereicht, damit die Lücke UNBEMERKT ausgenutzt werden kann.

    Und genau darum geht es.



    1 mal bearbeitet, zuletzt am 29.10.16 16:26 durch mxrd.

  6. Falsch verstanden?

    Autor: Berner Rösti 29.10.16 - 16:31

    Vanger schrieb:
    --------------------------------------------------------------------------------
    > Was ist das denn für ein Verständnis von Security das von den
    > Joomla-Entwicklern an den Tag gelegt wird? Eine Sicherheitslücke ist eine
    > Sicherheitslücke, vollkommen egal ob die akut ausnutzbar ist oder nicht,
    > und muss gefixt werden! Ein Bugfix durch den eine Sicherheitslücke
    > ausnutzbar wird ist kein Angriff, die Sicherheitslücke war schon lange da.
    > Was für ein Frickel-Projekt ist das denn? Selten so einen Blödsinn gelesen.

    Da hast du den Text missverstanden. Es steht doch schon im ersten Satz, dass diese Sicherheitslücke erst vor kurzem entdeckt wurde, aber schon seit Ewigkeiten (unentdeckt) bestanden hat.
    Nur aufgrund eines (zufälligen) Bugs ließ sich diese Sicherheitslücke nicht ausnutzen. Und genau dieser Bug wurde von einem Unbekannten gefixt, wodurch die o.g. Lücke nun zugänglich wurde.

  7. Re: Sicherheitslücken werden nicht erst durch ihre Ausnutzbarkeit zur Sicherheitslücke

    Autor: Vanger 29.10.16 - 16:34

    Oh doch, es geht sogar ganz genau darum! Dieser vorgeschobene Blödsinn mit "das war Sabotage" ist Thema, genau darum geht es. Es gibt keine Beweise, keine Indizien, rein gar nichts - ein neuer GitHub-Account ist gar nichts. Das ist nur eine von Joomla vorgeschobene Ausrede und Relativierung um nicht zugeben zu müssen, dass sie Mist gebaut haben - mehr nicht.

    Unangenehme Informationen wurden veröffentlicht? Eine Sicherheitslücke taucht auf?

    "Die Russen haben uns gehackt! Die bösen Hacker sind Schuld! Wir sind Opfer!"

    Nein, seid ihr nicht! Ihr habt Mist gebaut, gebt es zu und schaut wie ihr das in Zukunft verhindern könnt. Dieser Sabotage-Blödsinn spielt überhaupt keine Rolle. Selbst wenn es so wäre.



    2 mal bearbeitet, zuletzt am 29.10.16 16:40 durch Vanger.

  8. Re: Sicherheitslücken werden nicht erst durch ihre Ausnutzbarkeit zur Sicherheitslücke

    Autor: jooag 29.10.16 - 17:28

    Du hast da echt ein Problem mit deiner Ausdrucksweise und deinem Verständnis. Du dichtest einen Beitrag von Golem und Co. den Joomla Entwicklern an. Deine Annahmen sind falsch und deine Schlussfolgerungen dadurch auch. Es gibt nichts zuzugeben. Das Joomla Projekte hat auf die beste Art und Weise reagiert nachdem es von der Sicherheitslücke bescheid wusste. Es wurde gefixt. Soll die sich jetzt auf ewig geißeln? In welche Community ist das denn so? In deiner vielleicht?` In welcher großen Community bist du den Unterwegs als externer? Vielleicht möchtest du ja mit deiner Erfahrung etwas gutes tun und ein Code Review für Joomla durchführen. Wie du merkst, können wir immer fähige Leute gebrauchen, verbal es weniger können.

  9. Re: Sicherheitslücken werden nicht erst durch ihre Ausnutzbarkeit zur Sicherheitslücke

    Autor: TechnikSchaaf 29.10.16 - 21:56

    In welchem Kindergarten sind wir denn hier gelandet?
    Wie Rumpelstielzchen schimpfend durch den Hof hüpfend...

    Mehr als ein "Halt die Klappe!" kommt mir da irgendwie nicht in den Sinn.
    So viel Müll in so wenig Sätzen...
    Bitte belege doch mit ein paar Quellen wo genau die Joomla Entwickler behaupten das wäre keine Sichheitslücke?
    Wenn es Verdachtsmomente gibt die einen Hack oder eine gezielten Bugfix um eine Sicherheitslücke ausnutzen zu können nahe legen dann sollte man darüber auch berichten.
    Nicht wie bei BILD als Fakt sondern wie hier als Verdacht.

  10. Re: Sicherheitslücken werden nicht erst durch ihre Ausnutzbarkeit zur Sicherheitslücke

    Autor: Hello_World 30.10.16 - 08:18

    mxrd schrieb:
    --------------------------------------------------------------------------------
    > Der Account wurde an dem Tag erstellt, an dem der PR eingerichtet worden
    > ist - und danach nie wieder benutzt. Das ist auf jeden Fall fishy - hin
    > oder her.
    Ein Nutzer bemerkt einen Bug, der ihn betrifft, wühlt ein bisschen im Quellcode herum und entwickelt einen Fix und stellt dann fest, dass er einen Ankunft braucht, um denn PR zu erstellen. Also erstellt er sich halt einen. Und weil er nicht an der Joomla-Entwicklung an sich interessiert ist, sondern nur an der Lösung seines Problems, benutzt er den Account nicht noch einmal. Ich wüsste beim besten Willen nicht, was da „fishy“ sein sollte. Im Gegenteil, die Open-Source-Welt ist voll davon. Habe ich auch schon gemacht, mehr als einmal.

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Anzeige
Stellenmarkt
  1. EOS GmbH Electro Optical Systems, Krailling
  2. KAPP GmbH & Co. KG, Coburg
  3. Landis+Gyr GmbH, Nürnberg
  4. Robert Bosch GmbH, Abstatt

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. (heute u. a. Samsung Galaxy S8 499,00€, PS4 inkl. FIFA 18 und 2 Controllern 279,00€)
  2. (heute u. a. reduzierte PS4-Bundles, Videospiele und Fernseher. Weitere Aktionen u. a. Echo Plus...


Haben wir etwas übersehen?

E-Mail an news@golem.de


Coffee Lake vs. Ryzen: Was CPU-Multitasking mit Spielen macht
Coffee Lake vs. Ryzen
Was CPU-Multitasking mit Spielen macht
  1. Custom Foundry Intel will 10-nm-Smartphone-SoCs ab 2018 produzieren
  2. ARM-Prozessoren Macom verkauft Applied Micro
  3. Apple A11 Bionic KI-Hardware ist so groß wie mehrere CPU-Kerne

Smartphone-Kameras im Test: Die beste Kamera ist die, die man dabeihat
Smartphone-Kameras im Test
Die beste Kamera ist die, die man dabeihat
  1. Honor 7X Smartphone im 2:1-Format mit verbesserter Dual-Kamera
  2. Mini-Smartphone Jelly im Test Winzig, gewöhnungsbedürftig, nutzbar
  3. Leia RED verrät Details zum Holo-Display seines Smartphones

Xbox One X im Test: Schöner, schwerer Stromfresser
Xbox One X im Test
Schöner, schwerer Stromfresser
  1. Microsoft Xbox-Software und -Services wachsen um 21 Prozent
  2. Microsoft Xbox One emuliert 13 Xbox-Klassiker
  3. Microsoft Neue Firmware für Xbox One bietet mehr Übersicht

  1. Asus Transformer Mini: Windows-Tablet mit Tastaturhülle kostet 380 Euro
    Asus Transformer Mini
    Windows-Tablet mit Tastaturhülle kostet 380 Euro

    In Kürze will Asus das Transformer Mini T103 auf den Markt bringen. Das Windows-10-Tablet mit 10,1-Zoll-Touchscreen wird mit einer Tastaturhülle ausgeliefert, mit der sich das Gerät in ein Notebook verwandelt.

  2. Mainboard: Intel will ab 2020 nur noch UEFI statt Bios
    Mainboard
    Intel will ab 2020 nur noch UEFI statt Bios

    Wer in den nächsten Jahren ein Mainboard oder ein Komplettsystem kauft, der wird mit UEFI vorliebnehmen müssen. Intel plant die Abschaffung des Compatibility Support Module (CSM), das klassische Bios gibt es im Consumer-Segment dann nicht mehr.

  3. Sackgasse: EU-Industriekommissarin sieht Diesel am Ende
    Sackgasse
    EU-Industriekommissarin sieht Diesel am Ende

    EU-Industriekommissarin Elzbieta Bienkowska erwartet das baldige Aus für den Dieselmotor und befürchtet, dass Null- und Niedrigemissionsautos nicht in der EU gebaut würden. Eine E-Auto-Quote lehnt sie ab, setzt aber auf Anreizsysteme für Hersteller.


  1. 08:53

  2. 08:38

  3. 07:38

  4. 07:10

  5. 17:26

  6. 17:02

  7. 16:21

  8. 15:59