Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Sicherheit: Joomla-Lücke könnte…

Sicherheitslücken werden nicht erst durch ihre Ausnutzbarkeit zur Sicherheitslücke

  1. Thema

Neues Thema Ansicht wechseln


  1. Sicherheitslücken werden nicht erst durch ihre Ausnutzbarkeit zur Sicherheitslücke

    Autor: Vanger 29.10.16 - 13:35

    Was ist das denn für ein Verständnis von Security das von den Joomla-Entwicklern an den Tag gelegt wird? Eine Sicherheitslücke ist eine Sicherheitslücke, vollkommen egal ob die akut ausnutzbar ist oder nicht, und muss gefixt werden! Ein Bugfix durch den eine Sicherheitslücke ausnutzbar wird ist kein Angriff, die Sicherheitslücke war schon lange da. Was für ein Frickel-Projekt ist das denn? Selten so einen Blödsinn gelesen.

  2. Re: Sicherheitslücken werden nicht erst durch ihre Ausnutzbarkeit zur Sicherheitslücke

    Autor: jooag 29.10.16 - 14:09

    Das was du schreibst behauptet doch keiner. Eine Sicherheitslücke ist eine Sicherheitslücke. Wo steht das denn, das Joomla Entwickler, eine Sicherheitslücke nicht als Sicherheitslücke definiert haben sollen? Das als Frickel-Projekt zu bezeichnen ist hart und wird diesem und anderen CMS und der FLOSS Community nicht gerecht.

  3. Re: Sicherheitslücken werden nicht erst durch ihre Ausnutzbarkeit zur Sicherheitslücke

    Autor: Mithrandir 29.10.16 - 15:44

    jooag schrieb:
    --------------------------------------------------------------------------------
    > Das
    > als Frickel-Projekt zu bezeichnen ist hart und wird diesem und anderen CMS
    > und der FLOSS Community nicht gerecht.

    Ich würde auf seinen Kommentar nicht viel geben. Solche Leute wissen im Regelfall nicht, wovon sie reden, sondern stänkern lieber herum. Vielleicht sollte sich der OP einmal an einem
    großen Projekt beteiligen, dann sieht er das Ganze mit anderen Augen.

  4. Re: Sicherheitslücken werden nicht erst durch ihre Ausnutzbarkeit zur Sicherheitslücke

    Autor: Vanger 29.10.16 - 16:14

    Was ich im Übrigen tue, und das nicht nur als Externer.

    Sicherheit ist eine Frage der Einstellung - und der Artikel vermittelt den Eindruck, dass die Einstellung des Joomla-Projekts ist, dass das bisher keine Sicherheitslücke gewesen sei weil sie ja nicht ausnutzbar war. Es gab ja überhaupt kein Problem! Vielmehr habe dieser böse Bugfix, der dann auch noch ein Angriff eines "Hackers" gewesen sein soll, das ganze überhaupt erst zu einem Problem gemacht.

    Nein hat er nicht! Die Sicherheitslücke war von Anfang an da und der Bugfix hat nichts, überhaupt rein gar nichts mit dieser Sicherheitslücke zu tun. Das sind dumme Ausreden und Relativierungen, mehr nicht.

    Sicherheitslücke gefunden? Fixen und kommunizieren, dass man Mist gebaut hat! Keine dämlichen Ausreden und Verschwörungstheorien vorschieben. Aber es ist ja heute trendy irgendwelche Hacker zu beschuldigen... "Ich kann doch nichts dafür, das waren diese bösen Hacker!"

  5. Re: Sicherheitslücken werden nicht erst durch ihre Ausnutzbarkeit zur Sicherheitslücke

    Autor: mxrd 29.10.16 - 16:25

    Vanger welchen Artikel hast du eigentlich gelesen? Welches Thema wurde hier behandelt?

    Du willst oder kannst nicht verstehen, dass es hier eben nicht um die Einstellung der Joomla Entwicklung geht oder deren Relativierung, dass diese Lücke nur neuerdings ausgenutzt werden kann. Diese Relativierung ist wichtig, bevor 15 Millionen Webseiten-Betreiber in Panik ausbrechen - diese Information ist 100% relevant, wichtig und muss so getroffen werden.

    Der Artikel hat als Fokus nichtmal das, sondern die Sabotage - aber das interessiert dich einfach nicht. Du hast dir irgend eine Idee gesponnen und nun fährst du einfach gerade aus - Scheuklappen auf - oder?

    Der Account wurde an dem Tag erstellt, an dem der PR eingerichtet worden ist - und danach nie wieder benutzt. Das ist auf jeden Fall fishy - hin oder her.

    Man möchte einfach bewusst machen, dass ganz neue Möglichkeiten bestehen, Exploits zu schaffen, durch Contributions - in diesem Fall sieht es sehr danach aus, als wurde der Fix explizit eingereicht, damit die Lücke UNBEMERKT ausgenutzt werden kann.

    Und genau darum geht es.



    1 mal bearbeitet, zuletzt am 29.10.16 16:26 durch mxrd.

  6. Falsch verstanden?

    Autor: Berner Rösti 29.10.16 - 16:31

    Vanger schrieb:
    --------------------------------------------------------------------------------
    > Was ist das denn für ein Verständnis von Security das von den
    > Joomla-Entwicklern an den Tag gelegt wird? Eine Sicherheitslücke ist eine
    > Sicherheitslücke, vollkommen egal ob die akut ausnutzbar ist oder nicht,
    > und muss gefixt werden! Ein Bugfix durch den eine Sicherheitslücke
    > ausnutzbar wird ist kein Angriff, die Sicherheitslücke war schon lange da.
    > Was für ein Frickel-Projekt ist das denn? Selten so einen Blödsinn gelesen.

    Da hast du den Text missverstanden. Es steht doch schon im ersten Satz, dass diese Sicherheitslücke erst vor kurzem entdeckt wurde, aber schon seit Ewigkeiten (unentdeckt) bestanden hat.
    Nur aufgrund eines (zufälligen) Bugs ließ sich diese Sicherheitslücke nicht ausnutzen. Und genau dieser Bug wurde von einem Unbekannten gefixt, wodurch die o.g. Lücke nun zugänglich wurde.

  7. Re: Sicherheitslücken werden nicht erst durch ihre Ausnutzbarkeit zur Sicherheitslücke

    Autor: Vanger 29.10.16 - 16:34

    Oh doch, es geht sogar ganz genau darum! Dieser vorgeschobene Blödsinn mit "das war Sabotage" ist Thema, genau darum geht es. Es gibt keine Beweise, keine Indizien, rein gar nichts - ein neuer GitHub-Account ist gar nichts. Das ist nur eine von Joomla vorgeschobene Ausrede und Relativierung um nicht zugeben zu müssen, dass sie Mist gebaut haben - mehr nicht.

    Unangenehme Informationen wurden veröffentlicht? Eine Sicherheitslücke taucht auf?

    "Die Russen haben uns gehackt! Die bösen Hacker sind Schuld! Wir sind Opfer!"

    Nein, seid ihr nicht! Ihr habt Mist gebaut, gebt es zu und schaut wie ihr das in Zukunft verhindern könnt. Dieser Sabotage-Blödsinn spielt überhaupt keine Rolle. Selbst wenn es so wäre.



    2 mal bearbeitet, zuletzt am 29.10.16 16:40 durch Vanger.

  8. Re: Sicherheitslücken werden nicht erst durch ihre Ausnutzbarkeit zur Sicherheitslücke

    Autor: jooag 29.10.16 - 17:28

    Du hast da echt ein Problem mit deiner Ausdrucksweise und deinem Verständnis. Du dichtest einen Beitrag von Golem und Co. den Joomla Entwicklern an. Deine Annahmen sind falsch und deine Schlussfolgerungen dadurch auch. Es gibt nichts zuzugeben. Das Joomla Projekte hat auf die beste Art und Weise reagiert nachdem es von der Sicherheitslücke bescheid wusste. Es wurde gefixt. Soll die sich jetzt auf ewig geißeln? In welche Community ist das denn so? In deiner vielleicht?` In welcher großen Community bist du den Unterwegs als externer? Vielleicht möchtest du ja mit deiner Erfahrung etwas gutes tun und ein Code Review für Joomla durchführen. Wie du merkst, können wir immer fähige Leute gebrauchen, verbal es weniger können.

  9. Re: Sicherheitslücken werden nicht erst durch ihre Ausnutzbarkeit zur Sicherheitslücke

    Autor: TechnikSchaaf 29.10.16 - 21:56

    In welchem Kindergarten sind wir denn hier gelandet?
    Wie Rumpelstielzchen schimpfend durch den Hof hüpfend...

    Mehr als ein "Halt die Klappe!" kommt mir da irgendwie nicht in den Sinn.
    So viel Müll in so wenig Sätzen...
    Bitte belege doch mit ein paar Quellen wo genau die Joomla Entwickler behaupten das wäre keine Sichheitslücke?
    Wenn es Verdachtsmomente gibt die einen Hack oder eine gezielten Bugfix um eine Sicherheitslücke ausnutzen zu können nahe legen dann sollte man darüber auch berichten.
    Nicht wie bei BILD als Fakt sondern wie hier als Verdacht.

  10. Re: Sicherheitslücken werden nicht erst durch ihre Ausnutzbarkeit zur Sicherheitslücke

    Autor: Hello_World 30.10.16 - 08:18

    mxrd schrieb:
    --------------------------------------------------------------------------------
    > Der Account wurde an dem Tag erstellt, an dem der PR eingerichtet worden
    > ist - und danach nie wieder benutzt. Das ist auf jeden Fall fishy - hin
    > oder her.
    Ein Nutzer bemerkt einen Bug, der ihn betrifft, wühlt ein bisschen im Quellcode herum und entwickelt einen Fix und stellt dann fest, dass er einen Ankunft braucht, um denn PR zu erstellen. Also erstellt er sich halt einen. Und weil er nicht an der Joomla-Entwicklung an sich interessiert ist, sondern nur an der Lösung seines Problems, benutzt er den Account nicht noch einmal. Ich wüsste beim besten Willen nicht, was da „fishy“ sein sollte. Im Gegenteil, die Open-Source-Welt ist voll davon. Habe ich auch schon gemacht, mehr als einmal.

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. Aktion Mensch e.V., Bonn
  2. Ober Scharrer Gruppe GmbH, Düsseldorf
  3. Universität Hamburg, Hamburg
  4. FRISTO GETRÄNKEMARKT GmbH, Buchloe

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Blu-ray-Angebote
  1. 5€ inkl. FSK-18-Versand
  2. 5€ inkl. FSK-18-Versand
  3. (u. a. 3 Blu-rays für 15€, 2 Neuheiten für 15€)


Haben wir etwas übersehen?

E-Mail an news@golem.de


IT-Jobporträt Spieleprogrammierer: Ich habe mehr Code gelöscht als geschrieben
IT-Jobporträt Spieleprogrammierer
"Ich habe mehr Code gelöscht als geschrieben"

Wenn man im Game durch die weite Steppe reitet, auf Renaissance-Hausdächern kämpft oder stundenlang Rätsel löst, fragt man sich manchmal, wer das alles in Code geschrieben hat. Ein Spieleprogrammierer von Ubisoft sagt: Wer in dem Traumjob arbeiten will, braucht vor allem Geduld.
Von Maja Hoock

  1. Recruiting Wenn die KI passende Mitarbeiter findet
  2. Softwareentwicklung Agiles Arbeiten - ein Fallbeispiel
  3. IT-Jobs Ein Jahr als Freelancer

Radeon VII im Test: Die Grafikkarte für Videospeicher-Liebhaber
Radeon VII im Test
Die Grafikkarte für Videospeicher-Liebhaber

Höherer Preis, ähnliche Performance und doppelt so viel Videospeicher wie die Geforce RTX 2080: AMDs Radeon VII ist eine primär technisch spannende Grafikkarte. Bei Energie-Effizienz und Lautheit bleibt sie chancenlos, die 16 GByte Videospeicher sind eher ein Nischen-Bonus.
Ein Test von Marc Sauter und Sebastian Grüner

  1. Grafikkarte UEFI-Firmware lässt Radeon VII schneller booten
  2. AMD Radeon VII tritt mit PCIe Gen3 und geringer DP-Rate an
  3. Radeon Instinct MI60 AMD hat erste Grafikkarte mit 7 nm und PCIe 4.0

Enterprise Resource Planning: Drei Gründe für das Scheitern von SAP-Projekten
Enterprise Resource Planning
Drei Gründe für das Scheitern von SAP-Projekten

Projekte mit der Software von SAP? Da verdrehen viele IT-Experten die Augen. Prominente Beispiele von Lidl und Haribo aus dem vergangenen Jahr scheinen diese These zu bestätigen: Gerade SAP-Projekte laufen selten in time, in budget und in quality. Dafür gibt es Gründe - und Gegenmaßnahmen.
Von Markus Kammermeier


    1. Digitalpakt: Schuldigitalisierung in den Startlöchern
      Digitalpakt
      Schuldigitalisierung in den Startlöchern

      Nach langem Streit soll nun der Weg für eine Grundgesetzänderung frei sein - und mit dem Digitalpakt die Schulen digital modernisiert werden.

    2. Google-Alarmanlage: Verborgenes Mikrofon sollte kein Geheimnis sein
      Google-Alarmanlage
      Verborgenes Mikrofon sollte kein Geheimnis sein

      Die Alarmanlage Nest Secure kann seit Kurzem auch mit Sprachbefehlen umgehen - dass in dem Gerät ein Mikrofon steckt, war zuvor unbekannt.

    3. Uploadfilter: Regierung bricht Koalitionsvertrag in EU-Abstimmung
      Uploadfilter
      Regierung bricht Koalitionsvertrag in EU-Abstimmung

      Obwohl Union und SPD in ihrem Koalitionsvertrag des Gegenteil vereinbart haben, stimmt die Bundesregierung auf EU-Ebene für Uploadfilter. Mehrere andere EU-Staaten lehnten die Einigung auf die "Merkelfilter" bis zuletzt ab.


    1. 18:15

    2. 17:50

    3. 17:33

    4. 17:15

    5. 16:50

    6. 16:36

    7. 16:05

    8. 15:18