Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Sicherheit: Joomla-Lücke könnte…

Sicherheitslücken werden nicht erst durch ihre Ausnutzbarkeit zur Sicherheitslücke

  1. Thema

Neues Thema Ansicht wechseln


  1. Sicherheitslücken werden nicht erst durch ihre Ausnutzbarkeit zur Sicherheitslücke

    Autor: Vanger 29.10.16 - 13:35

    Was ist das denn für ein Verständnis von Security das von den Joomla-Entwicklern an den Tag gelegt wird? Eine Sicherheitslücke ist eine Sicherheitslücke, vollkommen egal ob die akut ausnutzbar ist oder nicht, und muss gefixt werden! Ein Bugfix durch den eine Sicherheitslücke ausnutzbar wird ist kein Angriff, die Sicherheitslücke war schon lange da. Was für ein Frickel-Projekt ist das denn? Selten so einen Blödsinn gelesen.

  2. Re: Sicherheitslücken werden nicht erst durch ihre Ausnutzbarkeit zur Sicherheitslücke

    Autor: jooag 29.10.16 - 14:09

    Das was du schreibst behauptet doch keiner. Eine Sicherheitslücke ist eine Sicherheitslücke. Wo steht das denn, das Joomla Entwickler, eine Sicherheitslücke nicht als Sicherheitslücke definiert haben sollen? Das als Frickel-Projekt zu bezeichnen ist hart und wird diesem und anderen CMS und der FLOSS Community nicht gerecht.

  3. Re: Sicherheitslücken werden nicht erst durch ihre Ausnutzbarkeit zur Sicherheitslücke

    Autor: Mithrandir 29.10.16 - 15:44

    jooag schrieb:
    --------------------------------------------------------------------------------
    > Das
    > als Frickel-Projekt zu bezeichnen ist hart und wird diesem und anderen CMS
    > und der FLOSS Community nicht gerecht.

    Ich würde auf seinen Kommentar nicht viel geben. Solche Leute wissen im Regelfall nicht, wovon sie reden, sondern stänkern lieber herum. Vielleicht sollte sich der OP einmal an einem
    großen Projekt beteiligen, dann sieht er das Ganze mit anderen Augen.

  4. Re: Sicherheitslücken werden nicht erst durch ihre Ausnutzbarkeit zur Sicherheitslücke

    Autor: Vanger 29.10.16 - 16:14

    Was ich im Übrigen tue, und das nicht nur als Externer.

    Sicherheit ist eine Frage der Einstellung - und der Artikel vermittelt den Eindruck, dass die Einstellung des Joomla-Projekts ist, dass das bisher keine Sicherheitslücke gewesen sei weil sie ja nicht ausnutzbar war. Es gab ja überhaupt kein Problem! Vielmehr habe dieser böse Bugfix, der dann auch noch ein Angriff eines "Hackers" gewesen sein soll, das ganze überhaupt erst zu einem Problem gemacht.

    Nein hat er nicht! Die Sicherheitslücke war von Anfang an da und der Bugfix hat nichts, überhaupt rein gar nichts mit dieser Sicherheitslücke zu tun. Das sind dumme Ausreden und Relativierungen, mehr nicht.

    Sicherheitslücke gefunden? Fixen und kommunizieren, dass man Mist gebaut hat! Keine dämlichen Ausreden und Verschwörungstheorien vorschieben. Aber es ist ja heute trendy irgendwelche Hacker zu beschuldigen... "Ich kann doch nichts dafür, das waren diese bösen Hacker!"

  5. Re: Sicherheitslücken werden nicht erst durch ihre Ausnutzbarkeit zur Sicherheitslücke

    Autor: mxrd 29.10.16 - 16:25

    Vanger welchen Artikel hast du eigentlich gelesen? Welches Thema wurde hier behandelt?

    Du willst oder kannst nicht verstehen, dass es hier eben nicht um die Einstellung der Joomla Entwicklung geht oder deren Relativierung, dass diese Lücke nur neuerdings ausgenutzt werden kann. Diese Relativierung ist wichtig, bevor 15 Millionen Webseiten-Betreiber in Panik ausbrechen - diese Information ist 100% relevant, wichtig und muss so getroffen werden.

    Der Artikel hat als Fokus nichtmal das, sondern die Sabotage - aber das interessiert dich einfach nicht. Du hast dir irgend eine Idee gesponnen und nun fährst du einfach gerade aus - Scheuklappen auf - oder?

    Der Account wurde an dem Tag erstellt, an dem der PR eingerichtet worden ist - und danach nie wieder benutzt. Das ist auf jeden Fall fishy - hin oder her.

    Man möchte einfach bewusst machen, dass ganz neue Möglichkeiten bestehen, Exploits zu schaffen, durch Contributions - in diesem Fall sieht es sehr danach aus, als wurde der Fix explizit eingereicht, damit die Lücke UNBEMERKT ausgenutzt werden kann.

    Und genau darum geht es.



    1 mal bearbeitet, zuletzt am 29.10.16 16:26 durch mxrd.

  6. Falsch verstanden?

    Autor: Berner Rösti 29.10.16 - 16:31

    Vanger schrieb:
    --------------------------------------------------------------------------------
    > Was ist das denn für ein Verständnis von Security das von den
    > Joomla-Entwicklern an den Tag gelegt wird? Eine Sicherheitslücke ist eine
    > Sicherheitslücke, vollkommen egal ob die akut ausnutzbar ist oder nicht,
    > und muss gefixt werden! Ein Bugfix durch den eine Sicherheitslücke
    > ausnutzbar wird ist kein Angriff, die Sicherheitslücke war schon lange da.
    > Was für ein Frickel-Projekt ist das denn? Selten so einen Blödsinn gelesen.

    Da hast du den Text missverstanden. Es steht doch schon im ersten Satz, dass diese Sicherheitslücke erst vor kurzem entdeckt wurde, aber schon seit Ewigkeiten (unentdeckt) bestanden hat.
    Nur aufgrund eines (zufälligen) Bugs ließ sich diese Sicherheitslücke nicht ausnutzen. Und genau dieser Bug wurde von einem Unbekannten gefixt, wodurch die o.g. Lücke nun zugänglich wurde.

  7. Re: Sicherheitslücken werden nicht erst durch ihre Ausnutzbarkeit zur Sicherheitslücke

    Autor: Vanger 29.10.16 - 16:34

    Oh doch, es geht sogar ganz genau darum! Dieser vorgeschobene Blödsinn mit "das war Sabotage" ist Thema, genau darum geht es. Es gibt keine Beweise, keine Indizien, rein gar nichts - ein neuer GitHub-Account ist gar nichts. Das ist nur eine von Joomla vorgeschobene Ausrede und Relativierung um nicht zugeben zu müssen, dass sie Mist gebaut haben - mehr nicht.

    Unangenehme Informationen wurden veröffentlicht? Eine Sicherheitslücke taucht auf?

    "Die Russen haben uns gehackt! Die bösen Hacker sind Schuld! Wir sind Opfer!"

    Nein, seid ihr nicht! Ihr habt Mist gebaut, gebt es zu und schaut wie ihr das in Zukunft verhindern könnt. Dieser Sabotage-Blödsinn spielt überhaupt keine Rolle. Selbst wenn es so wäre.



    2 mal bearbeitet, zuletzt am 29.10.16 16:40 durch Vanger.

  8. Re: Sicherheitslücken werden nicht erst durch ihre Ausnutzbarkeit zur Sicherheitslücke

    Autor: jooag 29.10.16 - 17:28

    Du hast da echt ein Problem mit deiner Ausdrucksweise und deinem Verständnis. Du dichtest einen Beitrag von Golem und Co. den Joomla Entwicklern an. Deine Annahmen sind falsch und deine Schlussfolgerungen dadurch auch. Es gibt nichts zuzugeben. Das Joomla Projekte hat auf die beste Art und Weise reagiert nachdem es von der Sicherheitslücke bescheid wusste. Es wurde gefixt. Soll die sich jetzt auf ewig geißeln? In welche Community ist das denn so? In deiner vielleicht?` In welcher großen Community bist du den Unterwegs als externer? Vielleicht möchtest du ja mit deiner Erfahrung etwas gutes tun und ein Code Review für Joomla durchführen. Wie du merkst, können wir immer fähige Leute gebrauchen, verbal es weniger können.

  9. Re: Sicherheitslücken werden nicht erst durch ihre Ausnutzbarkeit zur Sicherheitslücke

    Autor: TechnikSchaaf 29.10.16 - 21:56

    In welchem Kindergarten sind wir denn hier gelandet?
    Wie Rumpelstielzchen schimpfend durch den Hof hüpfend...

    Mehr als ein "Halt die Klappe!" kommt mir da irgendwie nicht in den Sinn.
    So viel Müll in so wenig Sätzen...
    Bitte belege doch mit ein paar Quellen wo genau die Joomla Entwickler behaupten das wäre keine Sichheitslücke?
    Wenn es Verdachtsmomente gibt die einen Hack oder eine gezielten Bugfix um eine Sicherheitslücke ausnutzen zu können nahe legen dann sollte man darüber auch berichten.
    Nicht wie bei BILD als Fakt sondern wie hier als Verdacht.

  10. Re: Sicherheitslücken werden nicht erst durch ihre Ausnutzbarkeit zur Sicherheitslücke

    Autor: Hello_World 30.10.16 - 08:18

    mxrd schrieb:
    --------------------------------------------------------------------------------
    > Der Account wurde an dem Tag erstellt, an dem der PR eingerichtet worden
    > ist - und danach nie wieder benutzt. Das ist auf jeden Fall fishy - hin
    > oder her.
    Ein Nutzer bemerkt einen Bug, der ihn betrifft, wühlt ein bisschen im Quellcode herum und entwickelt einen Fix und stellt dann fest, dass er einen Ankunft braucht, um denn PR zu erstellen. Also erstellt er sich halt einen. Und weil er nicht an der Joomla-Entwicklung an sich interessiert ist, sondern nur an der Lösung seines Problems, benutzt er den Account nicht noch einmal. Ich wüsste beim besten Willen nicht, was da „fishy“ sein sollte. Im Gegenteil, die Open-Source-Welt ist voll davon. Habe ich auch schon gemacht, mehr als einmal.

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. MOBIL ELEKTRONIK GMBH, Langenbrettach
  2. ME Mobil - Elektronik GmbH, Langenbrettach
  3. Stadtwerke München GmbH, München
  4. Gesellschaft für Anlagen- und Reaktorsicherheit (GRS) gGmbH, Köln

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote
  1. (reduzierte Überstände, Restposten & Co.)


Haben wir etwas übersehen?

E-Mail an news@golem.de


Nissan Leaf: Wer braucht schon ein Bremspedal?
Nissan Leaf
Wer braucht schon ein Bremspedal?

Wie fährt sich das meistverkaufte Elektroauto? Nissan hat vor wenigen Monaten eine überarbeitete Version des Leaf auf den Markt gebracht. Wir haben es gefahren und festgestellt, dass das Auto fast ohne Bremse auskommt.
Ein Erfahrungsbericht von Werner Pluta

  1. e-NV200 Nissan packt 40-kWh-Akku in Elektro-Van
  2. Reborn Light Nissan-Autoakkus speisen Straßenlaternen
  3. Elektroauto Nissan will den IMx in Serie bauen

Oneplus 6 im Test: Neues Design, gleich starkes Preis-Leistungs-Verhältnis
Oneplus 6 im Test
Neues Design, gleich starkes Preis-Leistungs-Verhältnis

Das Oneplus 6 hat einen schnellen Prozessor, eine Dualkamera und ein großes Display - mit einer Einbuchtung am oberen Rand. Der Preis liegt wieder unter dem der meisten Konkurrenzgeräte. Das macht das Smartphone trotz fehlender Innovationen zu einem der aktuell interessantesten am Markt.
Ein Test von Tobias Költzsch

  1. Android-Smartphone Neues Oneplus 6 kostet ab 520 Euro
  2. Oneplus 6 Oneplus verkauft sein neues Smartphone auch direkt in Berlin

Steam Link App ausprobiert: Games in 4K auf das Smartphone streamen
Steam Link App ausprobiert
Games in 4K auf das Smartphone streamen

Mit der Steam Link App lassen sich der Desktop und Spiele vom Computer auf Smartphones übertragen. Im Kurztest mit einem Windows-Desktop und einem Google Pixel 2 klappte das einwandfrei - sogar in 4K.
Ein Bericht von Marc Sauter

  1. Valve Steam Spy steht nach Datenschutzänderungen vor dem Aus
  2. Insel Games Spielehersteller wegen Fake-Reviews von Steam ausgeschlossen
  3. Spieleportal Bitcoin ist Steam zu unbeständig und zu teuer

  1. Bundesbildungsministerin: Kein Geld für Schüler-Tablets im Fünf-Milliarden-Digitalpakt
    Bundesbildungsministerin
    Kein Geld für Schüler-Tablets im Fünf-Milliarden-Digitalpakt

    Das Bundesbildungsministerium will im Digitalpakt Schule kein Geld für Schüler-Tablets ausgeben. Für die Geräte sollen arme Familien Hartz-IV-Leistungen beantragen.

  2. Detroit und Dark Souls Remastered: Verkabelter oder fleischiger Golem?
    Detroit und Dark Souls Remastered
    Verkabelter oder fleischiger Golem?

    Golem.de Live Um 20 Uhr streamt Golem.de-Redakteur Michael Wieczorek Detroit: Become Human und schaut live in Dark Souls Remastered rein. Welches Spiel wird mehr Zuschauer gewinnen, "Team Verkabelt" (Detroit) oder "Team Fleischig" (Dark Souls)?

  3. Micro-LED: Auf dem Weg zum sehr hellen 4.000-ppi-Display
    Micro-LED
    Auf dem Weg zum sehr hellen 4.000-ppi-Display

    Displayweek 2018 Während Samsung und LG Displays für VR-Anwedungen über 1.000 ppi anbieten, wächst mit der Micro-LED-Technik ein wichtiger Konkurrent zur OLED. Mehrere Tausend ppi sollen schon bald möglich sein.


  1. 18:36

  2. 17:49

  3. 16:50

  4. 16:30

  5. 16:00

  6. 15:10

  7. 14:50

  8. 14:35