Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Sicherheit: Joomla-Lücke könnte…

Sicherheitslücken werden nicht erst durch ihre Ausnutzbarkeit zur Sicherheitslücke

  1. Thema

Neues Thema Ansicht wechseln


  1. Sicherheitslücken werden nicht erst durch ihre Ausnutzbarkeit zur Sicherheitslücke

    Autor: Vanger 29.10.16 - 13:35

    Was ist das denn für ein Verständnis von Security das von den Joomla-Entwicklern an den Tag gelegt wird? Eine Sicherheitslücke ist eine Sicherheitslücke, vollkommen egal ob die akut ausnutzbar ist oder nicht, und muss gefixt werden! Ein Bugfix durch den eine Sicherheitslücke ausnutzbar wird ist kein Angriff, die Sicherheitslücke war schon lange da. Was für ein Frickel-Projekt ist das denn? Selten so einen Blödsinn gelesen.

  2. Re: Sicherheitslücken werden nicht erst durch ihre Ausnutzbarkeit zur Sicherheitslücke

    Autor: jooag 29.10.16 - 14:09

    Das was du schreibst behauptet doch keiner. Eine Sicherheitslücke ist eine Sicherheitslücke. Wo steht das denn, das Joomla Entwickler, eine Sicherheitslücke nicht als Sicherheitslücke definiert haben sollen? Das als Frickel-Projekt zu bezeichnen ist hart und wird diesem und anderen CMS und der FLOSS Community nicht gerecht.

  3. Re: Sicherheitslücken werden nicht erst durch ihre Ausnutzbarkeit zur Sicherheitslücke

    Autor: Mithrandir 29.10.16 - 15:44

    jooag schrieb:
    --------------------------------------------------------------------------------
    > Das
    > als Frickel-Projekt zu bezeichnen ist hart und wird diesem und anderen CMS
    > und der FLOSS Community nicht gerecht.

    Ich würde auf seinen Kommentar nicht viel geben. Solche Leute wissen im Regelfall nicht, wovon sie reden, sondern stänkern lieber herum. Vielleicht sollte sich der OP einmal an einem
    großen Projekt beteiligen, dann sieht er das Ganze mit anderen Augen.

  4. Re: Sicherheitslücken werden nicht erst durch ihre Ausnutzbarkeit zur Sicherheitslücke

    Autor: Vanger 29.10.16 - 16:14

    Was ich im Übrigen tue, und das nicht nur als Externer.

    Sicherheit ist eine Frage der Einstellung - und der Artikel vermittelt den Eindruck, dass die Einstellung des Joomla-Projekts ist, dass das bisher keine Sicherheitslücke gewesen sei weil sie ja nicht ausnutzbar war. Es gab ja überhaupt kein Problem! Vielmehr habe dieser böse Bugfix, der dann auch noch ein Angriff eines "Hackers" gewesen sein soll, das ganze überhaupt erst zu einem Problem gemacht.

    Nein hat er nicht! Die Sicherheitslücke war von Anfang an da und der Bugfix hat nichts, überhaupt rein gar nichts mit dieser Sicherheitslücke zu tun. Das sind dumme Ausreden und Relativierungen, mehr nicht.

    Sicherheitslücke gefunden? Fixen und kommunizieren, dass man Mist gebaut hat! Keine dämlichen Ausreden und Verschwörungstheorien vorschieben. Aber es ist ja heute trendy irgendwelche Hacker zu beschuldigen... "Ich kann doch nichts dafür, das waren diese bösen Hacker!"

  5. Re: Sicherheitslücken werden nicht erst durch ihre Ausnutzbarkeit zur Sicherheitslücke

    Autor: mxrd 29.10.16 - 16:25

    Vanger welchen Artikel hast du eigentlich gelesen? Welches Thema wurde hier behandelt?

    Du willst oder kannst nicht verstehen, dass es hier eben nicht um die Einstellung der Joomla Entwicklung geht oder deren Relativierung, dass diese Lücke nur neuerdings ausgenutzt werden kann. Diese Relativierung ist wichtig, bevor 15 Millionen Webseiten-Betreiber in Panik ausbrechen - diese Information ist 100% relevant, wichtig und muss so getroffen werden.

    Der Artikel hat als Fokus nichtmal das, sondern die Sabotage - aber das interessiert dich einfach nicht. Du hast dir irgend eine Idee gesponnen und nun fährst du einfach gerade aus - Scheuklappen auf - oder?

    Der Account wurde an dem Tag erstellt, an dem der PR eingerichtet worden ist - und danach nie wieder benutzt. Das ist auf jeden Fall fishy - hin oder her.

    Man möchte einfach bewusst machen, dass ganz neue Möglichkeiten bestehen, Exploits zu schaffen, durch Contributions - in diesem Fall sieht es sehr danach aus, als wurde der Fix explizit eingereicht, damit die Lücke UNBEMERKT ausgenutzt werden kann.

    Und genau darum geht es.



    1 mal bearbeitet, zuletzt am 29.10.16 16:26 durch mxrd.

  6. Falsch verstanden?

    Autor: Berner Rösti 29.10.16 - 16:31

    Vanger schrieb:
    --------------------------------------------------------------------------------
    > Was ist das denn für ein Verständnis von Security das von den
    > Joomla-Entwicklern an den Tag gelegt wird? Eine Sicherheitslücke ist eine
    > Sicherheitslücke, vollkommen egal ob die akut ausnutzbar ist oder nicht,
    > und muss gefixt werden! Ein Bugfix durch den eine Sicherheitslücke
    > ausnutzbar wird ist kein Angriff, die Sicherheitslücke war schon lange da.
    > Was für ein Frickel-Projekt ist das denn? Selten so einen Blödsinn gelesen.

    Da hast du den Text missverstanden. Es steht doch schon im ersten Satz, dass diese Sicherheitslücke erst vor kurzem entdeckt wurde, aber schon seit Ewigkeiten (unentdeckt) bestanden hat.
    Nur aufgrund eines (zufälligen) Bugs ließ sich diese Sicherheitslücke nicht ausnutzen. Und genau dieser Bug wurde von einem Unbekannten gefixt, wodurch die o.g. Lücke nun zugänglich wurde.

  7. Re: Sicherheitslücken werden nicht erst durch ihre Ausnutzbarkeit zur Sicherheitslücke

    Autor: Vanger 29.10.16 - 16:34

    Oh doch, es geht sogar ganz genau darum! Dieser vorgeschobene Blödsinn mit "das war Sabotage" ist Thema, genau darum geht es. Es gibt keine Beweise, keine Indizien, rein gar nichts - ein neuer GitHub-Account ist gar nichts. Das ist nur eine von Joomla vorgeschobene Ausrede und Relativierung um nicht zugeben zu müssen, dass sie Mist gebaut haben - mehr nicht.

    Unangenehme Informationen wurden veröffentlicht? Eine Sicherheitslücke taucht auf?

    "Die Russen haben uns gehackt! Die bösen Hacker sind Schuld! Wir sind Opfer!"

    Nein, seid ihr nicht! Ihr habt Mist gebaut, gebt es zu und schaut wie ihr das in Zukunft verhindern könnt. Dieser Sabotage-Blödsinn spielt überhaupt keine Rolle. Selbst wenn es so wäre.



    2 mal bearbeitet, zuletzt am 29.10.16 16:40 durch Vanger.

  8. Re: Sicherheitslücken werden nicht erst durch ihre Ausnutzbarkeit zur Sicherheitslücke

    Autor: jooag 29.10.16 - 17:28

    Du hast da echt ein Problem mit deiner Ausdrucksweise und deinem Verständnis. Du dichtest einen Beitrag von Golem und Co. den Joomla Entwicklern an. Deine Annahmen sind falsch und deine Schlussfolgerungen dadurch auch. Es gibt nichts zuzugeben. Das Joomla Projekte hat auf die beste Art und Weise reagiert nachdem es von der Sicherheitslücke bescheid wusste. Es wurde gefixt. Soll die sich jetzt auf ewig geißeln? In welche Community ist das denn so? In deiner vielleicht?` In welcher großen Community bist du den Unterwegs als externer? Vielleicht möchtest du ja mit deiner Erfahrung etwas gutes tun und ein Code Review für Joomla durchführen. Wie du merkst, können wir immer fähige Leute gebrauchen, verbal es weniger können.

  9. Re: Sicherheitslücken werden nicht erst durch ihre Ausnutzbarkeit zur Sicherheitslücke

    Autor: TechnikSchaaf 29.10.16 - 21:56

    In welchem Kindergarten sind wir denn hier gelandet?
    Wie Rumpelstielzchen schimpfend durch den Hof hüpfend...

    Mehr als ein "Halt die Klappe!" kommt mir da irgendwie nicht in den Sinn.
    So viel Müll in so wenig Sätzen...
    Bitte belege doch mit ein paar Quellen wo genau die Joomla Entwickler behaupten das wäre keine Sichheitslücke?
    Wenn es Verdachtsmomente gibt die einen Hack oder eine gezielten Bugfix um eine Sicherheitslücke ausnutzen zu können nahe legen dann sollte man darüber auch berichten.
    Nicht wie bei BILD als Fakt sondern wie hier als Verdacht.

  10. Re: Sicherheitslücken werden nicht erst durch ihre Ausnutzbarkeit zur Sicherheitslücke

    Autor: Hello_World 30.10.16 - 08:18

    mxrd schrieb:
    --------------------------------------------------------------------------------
    > Der Account wurde an dem Tag erstellt, an dem der PR eingerichtet worden
    > ist - und danach nie wieder benutzt. Das ist auf jeden Fall fishy - hin
    > oder her.
    Ein Nutzer bemerkt einen Bug, der ihn betrifft, wühlt ein bisschen im Quellcode herum und entwickelt einen Fix und stellt dann fest, dass er einen Ankunft braucht, um denn PR zu erstellen. Also erstellt er sich halt einen. Und weil er nicht an der Joomla-Entwicklung an sich interessiert ist, sondern nur an der Lösung seines Problems, benutzt er den Account nicht noch einmal. Ich wüsste beim besten Willen nicht, was da „fishy“ sein sollte. Im Gegenteil, die Open-Source-Welt ist voll davon. Habe ich auch schon gemacht, mehr als einmal.

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. Deutsche Welle, Bonn
  2. SICK AG, Waldkirch bei Freiburg im Breisgau
  3. State Street Bank International GmbH, München
  4. BWI GmbH, Nürnberg, München

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote
  1. (reduzierte Überstände, Restposten & Co.)


Haben wir etwas übersehen?

E-Mail an news@golem.de


Amazons Echo Show (2018) im Test: Auf keinem anderen Echo-Gerät macht Alexa so viel Freude
Amazons Echo Show (2018) im Test
Auf keinem anderen Echo-Gerät macht Alexa so viel Freude

Die zweite Generation des Echo Show ist da. Amazon hat viele Kritikpunkte am ersten Modell beseitigt. Der Neuling hat ein größeres Display als das Vorgängermodell und das sorgt für mehr Freude bei der Benutzung. Trotz vieler Verbesserungen ist nicht alles daran perfekt.
Ein Test von Ingo Pakalski

  1. Update für Alexa-Display im Hands on Browser macht den Echo Show viel nützlicher
  2. Amazon Echo Show mit Browser, Skype und großem Display

E-Mail-Verschlüsselung: 90 Prozent des Enigmail-Codes sind von mir
E-Mail-Verschlüsselung
"90 Prozent des Enigmail-Codes sind von mir"

Der Entwickler des beliebten OpenPGP-Addons für Thunderbird, Patrick Brunschwig, hätte nichts gegen Unterstützung durch bezahlte Vollzeitentwickler. So könnte Enigmail vielleicht endlich fester Bestandteil von Thunderbird werden.
Ein Interview von Jan Weisensee

  1. SigSpoof Signaturen fälschen mit GnuPG
  2. Librem 5 Purism-Smartphone bekommt Smartcard für Verschlüsselung

Dell Ultrasharp 49 im Test: Pervers und luxuriös
Dell Ultrasharp 49 im Test
Pervers und luxuriös

Dell bringt mit dem Ultrasharp 49 zwei QHD-Monitore in einem, quasi einen Doppelmonitor. Es könnte sein, dass wir uns im Test ein kleines bisschen in ihn verliebt haben.
Ein Test von Michael Wieczorek

  1. Magicscroll Mobiles Gerät hat rollbares Display zum Herausziehen
  2. CJG50 Samsungs 32-Zoll-Gaming-Monitor kostet 430 Euro
  3. Agon AG322QC4 Aggressiv aussehender 31,5-Zoll-Monitor kommt für 600 Euro

  1. Microsoft: Oktober-Update von Windows 10 macht Probleme mit iCloud
    Microsoft
    Oktober-Update von Windows 10 macht Probleme mit iCloud

    Das Windows-10-Update vom 10. Oktober 2018 verärgert Nutzer der iCloud-Anwendung für Windows durch Kompatibilitätsprobleme. Die Unternehmen arbeiten an einer Lösung.

  2. Bundesverkehrsminister: Uber soll in Deutschland erlaubt werden
    Bundesverkehrsminister
    Uber soll in Deutschland erlaubt werden

    Bundesverkehrsminister Andreas Scheuer (CSU) will in Deutschland Fahrdienste wie Uber zulassen, die eigentlich in der Taxibranche wildern. Noch in dieser Wahlperiode sollen die Dienste erlaubt werden. Dazu wäre eine Gesetzesänderung nötig.

  3. Digital Signage: Samsungs 65-Zoll-Displays haben 3,7 mm dünne Rahmen
    Digital Signage
    Samsungs 65-Zoll-Displays haben 3,7 mm dünne Rahmen

    Künftig wird es an Flughäfen oder in Hotel-Lobbys hochauflösend: Samsung hat einen 65-Zoll-Bildschirm für Digital Signage veröffentlicht, der 4K-UHD darstellt. Das soll nicht nur besser aussehen, sondern auch Kosten bei der Installation einer großen Videowand sparen.


  1. 07:15

  2. 12:15

  3. 11:50

  4. 11:15

  5. 10:47

  6. 10:11

  7. 12:55

  8. 12:25