Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Sicherheit: Joomla-Lücke könnte…

Sicherheitslücken werden nicht erst durch ihre Ausnutzbarkeit zur Sicherheitslücke

  1. Thema

Neues Thema Ansicht wechseln


  1. Sicherheitslücken werden nicht erst durch ihre Ausnutzbarkeit zur Sicherheitslücke

    Autor: Vanger 29.10.16 - 13:35

    Was ist das denn für ein Verständnis von Security das von den Joomla-Entwicklern an den Tag gelegt wird? Eine Sicherheitslücke ist eine Sicherheitslücke, vollkommen egal ob die akut ausnutzbar ist oder nicht, und muss gefixt werden! Ein Bugfix durch den eine Sicherheitslücke ausnutzbar wird ist kein Angriff, die Sicherheitslücke war schon lange da. Was für ein Frickel-Projekt ist das denn? Selten so einen Blödsinn gelesen.

  2. Re: Sicherheitslücken werden nicht erst durch ihre Ausnutzbarkeit zur Sicherheitslücke

    Autor: jooag 29.10.16 - 14:09

    Das was du schreibst behauptet doch keiner. Eine Sicherheitslücke ist eine Sicherheitslücke. Wo steht das denn, das Joomla Entwickler, eine Sicherheitslücke nicht als Sicherheitslücke definiert haben sollen? Das als Frickel-Projekt zu bezeichnen ist hart und wird diesem und anderen CMS und der FLOSS Community nicht gerecht.

  3. Re: Sicherheitslücken werden nicht erst durch ihre Ausnutzbarkeit zur Sicherheitslücke

    Autor: Mithrandir 29.10.16 - 15:44

    jooag schrieb:
    --------------------------------------------------------------------------------
    > Das
    > als Frickel-Projekt zu bezeichnen ist hart und wird diesem und anderen CMS
    > und der FLOSS Community nicht gerecht.

    Ich würde auf seinen Kommentar nicht viel geben. Solche Leute wissen im Regelfall nicht, wovon sie reden, sondern stänkern lieber herum. Vielleicht sollte sich der OP einmal an einem
    großen Projekt beteiligen, dann sieht er das Ganze mit anderen Augen.

  4. Re: Sicherheitslücken werden nicht erst durch ihre Ausnutzbarkeit zur Sicherheitslücke

    Autor: Vanger 29.10.16 - 16:14

    Was ich im Übrigen tue, und das nicht nur als Externer.

    Sicherheit ist eine Frage der Einstellung - und der Artikel vermittelt den Eindruck, dass die Einstellung des Joomla-Projekts ist, dass das bisher keine Sicherheitslücke gewesen sei weil sie ja nicht ausnutzbar war. Es gab ja überhaupt kein Problem! Vielmehr habe dieser böse Bugfix, der dann auch noch ein Angriff eines "Hackers" gewesen sein soll, das ganze überhaupt erst zu einem Problem gemacht.

    Nein hat er nicht! Die Sicherheitslücke war von Anfang an da und der Bugfix hat nichts, überhaupt rein gar nichts mit dieser Sicherheitslücke zu tun. Das sind dumme Ausreden und Relativierungen, mehr nicht.

    Sicherheitslücke gefunden? Fixen und kommunizieren, dass man Mist gebaut hat! Keine dämlichen Ausreden und Verschwörungstheorien vorschieben. Aber es ist ja heute trendy irgendwelche Hacker zu beschuldigen... "Ich kann doch nichts dafür, das waren diese bösen Hacker!"

  5. Re: Sicherheitslücken werden nicht erst durch ihre Ausnutzbarkeit zur Sicherheitslücke

    Autor: mxrd 29.10.16 - 16:25

    Vanger welchen Artikel hast du eigentlich gelesen? Welches Thema wurde hier behandelt?

    Du willst oder kannst nicht verstehen, dass es hier eben nicht um die Einstellung der Joomla Entwicklung geht oder deren Relativierung, dass diese Lücke nur neuerdings ausgenutzt werden kann. Diese Relativierung ist wichtig, bevor 15 Millionen Webseiten-Betreiber in Panik ausbrechen - diese Information ist 100% relevant, wichtig und muss so getroffen werden.

    Der Artikel hat als Fokus nichtmal das, sondern die Sabotage - aber das interessiert dich einfach nicht. Du hast dir irgend eine Idee gesponnen und nun fährst du einfach gerade aus - Scheuklappen auf - oder?

    Der Account wurde an dem Tag erstellt, an dem der PR eingerichtet worden ist - und danach nie wieder benutzt. Das ist auf jeden Fall fishy - hin oder her.

    Man möchte einfach bewusst machen, dass ganz neue Möglichkeiten bestehen, Exploits zu schaffen, durch Contributions - in diesem Fall sieht es sehr danach aus, als wurde der Fix explizit eingereicht, damit die Lücke UNBEMERKT ausgenutzt werden kann.

    Und genau darum geht es.



    1 mal bearbeitet, zuletzt am 29.10.16 16:26 durch mxrd.

  6. Falsch verstanden?

    Autor: Berner Rösti 29.10.16 - 16:31

    Vanger schrieb:
    --------------------------------------------------------------------------------
    > Was ist das denn für ein Verständnis von Security das von den
    > Joomla-Entwicklern an den Tag gelegt wird? Eine Sicherheitslücke ist eine
    > Sicherheitslücke, vollkommen egal ob die akut ausnutzbar ist oder nicht,
    > und muss gefixt werden! Ein Bugfix durch den eine Sicherheitslücke
    > ausnutzbar wird ist kein Angriff, die Sicherheitslücke war schon lange da.
    > Was für ein Frickel-Projekt ist das denn? Selten so einen Blödsinn gelesen.

    Da hast du den Text missverstanden. Es steht doch schon im ersten Satz, dass diese Sicherheitslücke erst vor kurzem entdeckt wurde, aber schon seit Ewigkeiten (unentdeckt) bestanden hat.
    Nur aufgrund eines (zufälligen) Bugs ließ sich diese Sicherheitslücke nicht ausnutzen. Und genau dieser Bug wurde von einem Unbekannten gefixt, wodurch die o.g. Lücke nun zugänglich wurde.

  7. Re: Sicherheitslücken werden nicht erst durch ihre Ausnutzbarkeit zur Sicherheitslücke

    Autor: Vanger 29.10.16 - 16:34

    Oh doch, es geht sogar ganz genau darum! Dieser vorgeschobene Blödsinn mit "das war Sabotage" ist Thema, genau darum geht es. Es gibt keine Beweise, keine Indizien, rein gar nichts - ein neuer GitHub-Account ist gar nichts. Das ist nur eine von Joomla vorgeschobene Ausrede und Relativierung um nicht zugeben zu müssen, dass sie Mist gebaut haben - mehr nicht.

    Unangenehme Informationen wurden veröffentlicht? Eine Sicherheitslücke taucht auf?

    "Die Russen haben uns gehackt! Die bösen Hacker sind Schuld! Wir sind Opfer!"

    Nein, seid ihr nicht! Ihr habt Mist gebaut, gebt es zu und schaut wie ihr das in Zukunft verhindern könnt. Dieser Sabotage-Blödsinn spielt überhaupt keine Rolle. Selbst wenn es so wäre.



    2 mal bearbeitet, zuletzt am 29.10.16 16:40 durch Vanger.

  8. Re: Sicherheitslücken werden nicht erst durch ihre Ausnutzbarkeit zur Sicherheitslücke

    Autor: jooag 29.10.16 - 17:28

    Du hast da echt ein Problem mit deiner Ausdrucksweise und deinem Verständnis. Du dichtest einen Beitrag von Golem und Co. den Joomla Entwicklern an. Deine Annahmen sind falsch und deine Schlussfolgerungen dadurch auch. Es gibt nichts zuzugeben. Das Joomla Projekte hat auf die beste Art und Weise reagiert nachdem es von der Sicherheitslücke bescheid wusste. Es wurde gefixt. Soll die sich jetzt auf ewig geißeln? In welche Community ist das denn so? In deiner vielleicht?` In welcher großen Community bist du den Unterwegs als externer? Vielleicht möchtest du ja mit deiner Erfahrung etwas gutes tun und ein Code Review für Joomla durchführen. Wie du merkst, können wir immer fähige Leute gebrauchen, verbal es weniger können.

  9. Re: Sicherheitslücken werden nicht erst durch ihre Ausnutzbarkeit zur Sicherheitslücke

    Autor: TechnikSchaaf 29.10.16 - 21:56

    In welchem Kindergarten sind wir denn hier gelandet?
    Wie Rumpelstielzchen schimpfend durch den Hof hüpfend...

    Mehr als ein "Halt die Klappe!" kommt mir da irgendwie nicht in den Sinn.
    So viel Müll in so wenig Sätzen...
    Bitte belege doch mit ein paar Quellen wo genau die Joomla Entwickler behaupten das wäre keine Sichheitslücke?
    Wenn es Verdachtsmomente gibt die einen Hack oder eine gezielten Bugfix um eine Sicherheitslücke ausnutzen zu können nahe legen dann sollte man darüber auch berichten.
    Nicht wie bei BILD als Fakt sondern wie hier als Verdacht.

  10. Re: Sicherheitslücken werden nicht erst durch ihre Ausnutzbarkeit zur Sicherheitslücke

    Autor: Hello_World 30.10.16 - 08:18

    mxrd schrieb:
    --------------------------------------------------------------------------------
    > Der Account wurde an dem Tag erstellt, an dem der PR eingerichtet worden
    > ist - und danach nie wieder benutzt. Das ist auf jeden Fall fishy - hin
    > oder her.
    Ein Nutzer bemerkt einen Bug, der ihn betrifft, wühlt ein bisschen im Quellcode herum und entwickelt einen Fix und stellt dann fest, dass er einen Ankunft braucht, um denn PR zu erstellen. Also erstellt er sich halt einen. Und weil er nicht an der Joomla-Entwicklung an sich interessiert ist, sondern nur an der Lösung seines Problems, benutzt er den Account nicht noch einmal. Ich wüsste beim besten Willen nicht, was da „fishy“ sein sollte. Im Gegenteil, die Open-Source-Welt ist voll davon. Habe ich auch schon gemacht, mehr als einmal.

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. Fresenius Medical Care Deutschland GmbH, Schweinfurt
  2. Sky Deutschland GmbH, Unterföhring
  3. Robert Bosch GmbH, Abstatt
  4. Arnold & Richter Cine Technik GmbH & Co. Betriebs KG, München

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote
  1. und bis zu 50€ Cashback erhalten bei Alternate.de


Haben wir etwas übersehen?

E-Mail an news@golem.de


Sam's Journey im Test: Ein Kaufgrund für den C64
Sam's Journey im Test
Ein Kaufgrund für den C64
  1. THEC64 Mini C64-Emulator erscheint am 29. März in Deutschland
  2. Sam's Journey Neues Kaufspiel für C64 veröffentlicht

Age of Empires Definitive Edition Test: Trotz neuem Look zu rückständig
Age of Empires Definitive Edition Test
Trotz neuem Look zu rückständig
  1. Echtzeit-Strategie Definitive Edition von Age of Empires hat neuen Termin
  2. Matt Booty Mr. Minecraft wird neuer Spiele-Chef bei Microsoft
  3. Vorschau Spielejahr 2018 Zwischen Kuhstall und knallrümpfigen Krötern

Samsung C27HG70 im Test: Der 144-Hz-HDR-Quantum-Dot-Monitor
Samsung C27HG70 im Test
Der 144-Hz-HDR-Quantum-Dot-Monitor
  1. Volumendisplay US-Forscher lassen Projektion schweben wie in Star Wars
  2. Sieben Touchscreens Nissan Xmotion verwendet Koi als virtuellen Assistenten
  3. CJ791 Samsung stellt gekrümmten Thunderbolt-3-Monitor vor

  1. Alcatel 1X: Android-Go-Smartphone mit 2:1-Display kommt für 100 Euro
    Alcatel 1X
    Android-Go-Smartphone mit 2:1-Display kommt für 100 Euro

    MWC 2018 Alcatel bringt fünf neue Smartphones mit 2:1-Display auf den Markt. Mit dabei ist auch ein 100 Euro teures Modell mit Android Go. Zudem wurden vier neue Mittelklasse-Modelle mit einer normalen Android-Version vorgestellt.

  2. Apple: Ladestation Airpower soll im März 2018 auf den Markt kommen
    Apple
    Ladestation Airpower soll im März 2018 auf den Markt kommen

    Apple soll im nächsten Monat mit dem Verkauf seiner kabellosen Airpower-Ladematte beginnen. Das gibt zumindest die japanische Webseite Mac Otakara an, von ihren Informanten erfahren zu haben.

  3. Radeon Software Adrenalin 18.2.3: AMD-Treiber macht Sea of Thieves schneller
    Radeon Software Adrenalin 18.2.3
    AMD-Treiber macht Sea of Thieves schneller

    Wer das Piraten-MMORPG Sea of Thieves von Microsoft spielt, der sollte die Radeon Software Adrenalin 18.2.3 installieren: Der Grafiktreiber sorgt für bis zu 40 Prozent höhere Bildraten. Auch das Remaster von Final Fantasy 12 läuft flüssiger.


  1. 19:00

  2. 11:53

  3. 11:26

  4. 11:14

  5. 09:02

  6. 17:17

  7. 16:50

  8. 16:05