[gelöst] Frage zum SA-CORE-2009-008 bzw. 5.20 Update
Eingetragen von Jim (25)am 18.09.2009 - 10:21 Uhr in
Moin zusammen,
bei mir läuft im Moment die 5.19 Version. Beim dem SA-CORE-2009-008 Update ist ja beschrieben:
"Session fixation
Drupal doesn't regenerate the session ID when an anonymous user follows the one time login link used to confirm email addresses and reset forgotten passwords. This enables a malicious user to fix and reuse the session id of a victim under certain circumstances."
Den Part "when an anonymous user follows the one time login link used to confirm email addresses and reset forgotten passwords." verstehe ich leider nicht so genau. Bei meiner Seite gibt es außer dem Admin-Konto eigentlich keine weiteren User, bzw. es können sich auch keine User registrieren/anmelden. Betrifft die o.g. Lücke mich trotzdem, sodass ich das Update auf 5.20 durchführen muß?
Gruß Jim
- Anmelden oder Registrieren um Kommentare zu schreiben
Updates
am 18.09.2009 - 10:56 Uhr
Sicherheitsupdates sollten generell immer durchgeführt werden.
Prinzipiell würde ich sagen, dass diese Lücke Dich nicht wirklich betrifft; es ist jedoch eine Lücke im Kern, die es zu schliessen gilt.
Also besser updaten. Kostet ja nichts (ausser etwas Zeit).
hth,
Stefan
--
sei nett zu Deinem Themer
Tipp: Beachte die Verhaltensregeln des DrupalCenter.
Hallo Stefan, stBorchert
am 20.09.2009 - 14:58 Uhr
Hallo Stefan,
Sicherheitsupdates sollten generell immer durchgeführt werden.
ich weiß.
Prinzipiell würde ich sagen, dass diese Lücke Dich nicht wirklich betrifft;
Danke für die Info.
Also besser updaten. Kostet ja nichts (ausser etwas Zeit).
Jo - ist schon klar, nur fehlt es mir im Moment an der "etwas Zeit".
Wie ich bei einem anderen Update-Beitrag schon mal erwähnt hatte wäre es schön wenn es, für nicht so versierte User wie mich, bei kleineren Updates einfach eine Patch-Datei gebe. Nach dem Motto: Tausch die Datei X aus und gut ist. Denn das http://drupal.org/files/sa-core-2009-008/SA-CORE-2009-008-5.19.patch in Verbindung mit dem http://www.drupalcenter.de/handbuch/305 oder dem http://drupal.org/patch ist mir (im Moment) leider etwas zu hoch.
Gruß Jim
Genau so wird ein Update
am 20.09.2009 - 15:02 Uhr
Genau so wird ein Update gemacht, Drupal über die bestehendenn Dateien drüberbügeln. Und wenn Statusbericht sagt, update.php ausführen, dann die auch noch. Thats is. Aufwand: 2-3 Min. jenach Leitung.
----------------------------------------
http://tobiasbaehr.de/
Gelöste Forenbeiträge mit [gelöst] im Titel ergänzen
Das Verhältnis anderen zu helfen muss höher sein, als von anderen Hilfe zu erfragen/erwarten.
Gelöste Forenbeiträge mit [gelöst] im Titel ergänzen
Das Verhältnis anderen zu helfen muss höher sein, als von anderen Hilfe zu erfragen/erwarten.
Hallo Tobias, Tobias Bähr
am 20.09.2009 - 15:59 Uhr
Hallo Tobias,
Genau so wird ein Update gemacht, Drupal über die bestehendenn Dateien drüberbügeln. Und wenn Statusbericht sagt, update.php ausführen, dann die auch noch. Thats is.
ich meinte eine Datei, nicht ein kompl. Update. ;-)
Aufwand: 2-3 Min. jenach Leitung.
Mach' da jeweils 'ne Null hinter, dann paßt das bei 'ner ISDN-Leitung. Wenn ich vorher noch ein Backup der Drupal-Dateien und der Datenbank mache, dann kannst'e die Zahl noch mit zwei oder drei multiplizieren, je nachdem wie oft der Hoster die FTP-Verbindung wegen Timeout trennt. :-(
Gruß Jim
Wo wohnst du denn im Urwald?
am 20.09.2009 - 16:03 Uhr
Wo wohnst du denn im Urwald? da wäre ich schon ausgewandert :D hier haste nur die geänderten Dateien http://www.pebosi.net/200909/drupal-614-und-drupal-520-erschienen.
----------------------------------------
http://tobiasbaehr.de/
Gelöste Forenbeiträge mit [gelöst] im Titel ergänzen
Das Verhältnis anderen zu helfen muss höher sein, als von anderen Hilfe zu erfragen/erwarten.
Gelöste Forenbeiträge mit [gelöst] im Titel ergänzen
Das Verhältnis anderen zu helfen muss höher sein, als von anderen Hilfe zu erfragen/erwarten.
Hallo Tobias, Tobias Bähr
am 21.09.2009 - 10:29 Uhr
Hallo Tobias,
Wo wohnst du denn im Urwald?
der Urwald heißt Deutschland. :-)
Über's Wochenende bei Bekannten in Berlin (Hönow) gab es ISDN oder UMTS, wobei UMTS ~ 1/3 der ISDN-Geschwindigkeit geschafft hat.
An meinem Erstwohnsitz in NDS gibt's auch nur ISDN und an meinem Zweitwohnsitz gibt's zwar DSL, aber keine freien Ports mehr in der VSt. Soviel zum Thema Verfügbarkeit von DSL. :-(
hier haste nur die geänderten Dateien http://www.pebosi.net/200909/drupal-614-und-drupal-520-erschienen.
Vielen vielen Dank! Dann werd' ich die mal aufspielen und dann sollte erstmal wieder Ruhe sein - bis zum nächsten Update. ;-)
Gruß Jim
download
am 21.09.2009 - 10:35 Uhr
Hm, also Drupal selbst ist nur 1,03MB gross (gepackt. Selbst mit 1/3ISDN Geschwindigkeit sollte ein Download da überhaupt kein Problem sein.
Was tust Du, wenn sich mal mehr als eine (alternativ auch "mehr als 5") Datei ändert? Jede Datei einzeln herunterladen und dann per Hand ersetzen?
In meinen Augen nicht sehr sinnvoll.
Stefan
--
sei nett zu Deinem Themer
Tipp: Beachte die Verhaltensregeln des DrupalCenter.
Hallo Stefan, stBorchert
am 21.09.2009 - 13:26 Uhr
Hallo Stefan,
also Drupal selbst ist nur 1,03MB gross (gepackt. Selbst mit 1/3ISDN Geschwindigkeit sollte ein Download da überhaupt kein Problem sein.
es geht ja nicht um den Download von Drupal, sondern um den Upload. Bei einem Update sollen gem. Anleitung ja alle Drupal-Dateien ersetzt werden, was dann rund 300 Dateien sind. Dieser Upload beim Hoster fabriziert dann bei mir (fast grundsaetzlich) einen Timeout, sodass man wieder von vorne anfangen muss, oder gleich von vornherein das Update häppchenweise machen muß. Vielleicht liegt das aber auch an meiner ziemlich alten Version von Total Commander. Ich werd' da, wenn ich Zeit habe, mal 'ne neue Version bzw. einen anderen FTP-Client probieren.
Wenn es statt eines kompl. Updates auch einen Patch gibt, um eine bestimmte Sicherheitslücke zu schliessen, dann wäre es halt sehr schön wenn einem die Datei(en) fertig als Download zur Verfügung gestellt werden. Das wäre (für nicht so versierte User wie mich) eine ziemliche Arbeitserleichterung.
Gruß Jim
Hönow ist doch Urwald :D.
am 21.09.2009 - 15:19 Uhr
Hönow ist doch Urwald :D. drehe dich mal 45 Grad, laufe 5km, dann solltest du Leben sehen. :D
----------------------------------------
http://tobiasbaehr.de/
Gelöste Forenbeiträge mit [gelöst] im Titel ergänzen
Das Verhältnis anderen zu helfen muss höher sein, als von anderen Hilfe zu erfragen/erwarten.
Gelöste Forenbeiträge mit [gelöst] im Titel ergänzen
Das Verhältnis anderen zu helfen muss höher sein, als von anderen Hilfe zu erfragen/erwarten.
Hi Tobias, Tobias Bähr
am 22.09.2009 - 11:46 Uhr
Hi Tobias,
Hönow ist doch Urwald :D.
sag' ich doch. Bis dahin geht zwar die U-Bahn aber kein DSL. :-)
drehe dich mal 45 Grad, laufe 5km, dann solltest du Leben sehen. :D
OK - also Kaulsdorf. Wobei der Name nicht inbedingt dafür spricht das da das Leben tobt. :D
Ich bin inzwischen aber schon wieder zurück in meiner Heimat und habe eben mal den Patch installiert. Dazu aber noch eine Frage:
Wenn ich die Beschreibung hier http://drupal.org/node/579482 richtig verstehe dann ist das hier http://drupal.org/files/sa-core-2009-008/SA-CORE-2009-008-5.19.patch ja der Patch. Dieser besteht aus der "user.module". So weit so gut.
Wenn ich mir jetzt mal die user.module aus der 5.20 Version anschaue und einen Dateivergleich mit der Datei mache, die Du oben als Download zur Verfügung gestellt hast, dann gibt es nur folgenden Unterschied:
+ // Regenerate the session ID to prevent against session fixation attacks.+ sess_regenerate();
D.h. doch mit einem einfachen Eintrag von sess_regenerate(); nach der Zeile 1151 in user.module ist das Thema schon erledigt und die Sicherheitslücke geschlossen? Hab' ich das so richtig verstanden, oder müssen noch weitere Dateien ausgetauscht/bearbeitet werden?
Dann noch eine etwas laienhaft Frage: Warum schreibt man (Anm.: Wobei sich das man jetzt nicht auf Euch bezieht!) dann nicht einfach "Öffne die Datei user.module und füge hinter Zeile 1151 den Befehl sess_regenerate(); ein. Damit ist die Sicherheitslücke geschlossen."
Wäre das in diesem (solchen) Fall (Fällen) nicht viel einfacher/sinnvoller als die normale Vorgehensweise beim patchen ala "Installiere das Programm xyz - führe den Befehl "patch -p0 < taxonomy.patch" aus - tausche die Datei(en) auf dem Webspace aus"
Gruß Jim
Update
am 22.09.2009 - 11:52 Uhr
Warum schreibt man ... dann nicht einfach "Öffne die Datei user.module und füge hinter Zeile 1151 den Befehl sess_regenerate(); ein. Damit ist die Sicherheitslücke geschlossen."
Weil geschätzte 75% der Verwender von Drupal damit überfordert wären.
Und es ca. 1/4 der restlichen Verwender schaffen würde, damit einen Fehler einzubauen, den sie dann auf den Drupal-Kern schieben und sich dann lang und breit darüber auslassen, wie schlecht programmiert Drupal eigentlich ist.
Und eine Gegenfrage: wenn bei Linux (oder Windows) ein Update herauskommt, möchtest Du dann auch "nur in der einen Datei" etwas ändern? Und möchtest Du das allen Nutzern zumuten?
Lieber nicht.
Als "normaler" Anwender möchte man nicht in Dateien editiern, um ein Update zu machen. Man möchte (beispielsweise) ein Update-Skript ausführen und fertig.
Es wurde früher schonmal ziemlich lang und breit darüber diskutiert, ob bei Updates wirklich immer das gesamte Paket ausgeliefert werden sollte. Ergebnis: natürlich! Somit muss man sich nämlich nicht die 6.0 installieren und sich dann fröhlich nach 6.14 durchpatchen, sondern kann sich gleich die 6.14 installieren (wenn man mal quasi von 0 starten möchte).
Und ein zusätzliches Updatepaket würde die oben genannte Gruppe wieder zu sehr verwirren.
hth,
Stefan
--
sei nett zu Deinem Themer
Tipp: Beachte die Verhaltensregeln des DrupalCenter.
Hallo Stefan, stBorchert
am 22.09.2009 - 12:32 Uhr
Hallo Stefan,
Und eine Gegenfrage: wenn bei Linux (oder Windows) ein Update herauskommt, möchtest Du dann auch "nur in der einen Datei" etwas ändern?
wenn ich dadurch Zeit spare: Ja ;-)
Als "normaler" Anwender möchte man nicht in Dateien editiern, um ein Update zu machen. Man möchte (beispielsweise) ein Update-Skript ausführen und fertig.
Es wurde früher schonmal ziemlich lang und breit darüber diskutiert, ob bei Updates wirklich immer das gesamte Paket ausgeliefert werden sollte. Ergebnis: natürlich! Somit muss man sich nämlich nicht die 6.0 installieren und sich dann fröhlich nach 6.14 durchpatchen, sondern kann sich gleich die 6.14 installieren (wenn man mal quasi von 0 starten möchte).
Und ein zusätzliches Updatepaket würde die oben genannte Gruppe wieder zu sehr verwirren.
Ich kenne das von anderen Datenbank- und Script-basierenden Systemen (u.a. von vBulletin) auch etwas anders. Klar gibt es drei Wege:
1. Alle alten Dateien kompl. ersetzen und ein Updates-Script ausführen.
2. Nur die geänderten Dateien austauschen und falls die Datenbank auch betroffen ist noch ein Update-Script ausführen.
3. Änderungen zu Fuß vornehmen.
Bei der aktuellen Lücke in 5.19 wäre m.E. die Variante drei die einfachste und schnellste. Entweder in dem man das Stück Code selber ändert, oder 'ne geänderte user.module zur Verfügung stellt. OK - es gibt ja die SA-CORE-2009-008-5.19.patch, aber mich als Laien hat das erst einmal verwirrt, weil mich der Patchvorgang auf Commandoebene ala patch -p0 < path/file.patch usw. erstmal abgeschreckt hat. Inzwischen weiß ich ja das da auch nur mit Wasser gekocht wird. :D
Bei der Variante 1 hab' ich pers. immer ein flaues Gefühl im Magen und zwar ob anschliessend noch alles (richtig) funktioniert, oder ob ich z.B. (aus Versehen) irgendwelche Dinge gelöscht/überschrieben habe, die z.B. von irgendwelchen anderen Modulen gebraucht werden usw.
OK - scheinbar habe ich das Prinzip bei den Drupal-Patchen jetzt kapiert und daher sollte das in Zukunft eigentlich kein Problem mehr sein. Bei größeren Änderungen und/oder Sachen die die Datenbank betreffen, ist halt ein kompl. Update fällig. Bei solchen Sachen wie bei dem 5.19 --> 5.20 Update werd' ich das sicherlich zu Fuß machen.
Gruß Jim