Wichtiges Sicherheitsupdate für "Fast Permission Administration" (FPA)
am 27.06.2013 - 12:23 Uhr in
Liebe Drupal Gemeinde,
Hand aufs Herz: Liest du die Security Advisories (SA) oder kennst jemanden, der das für dich verlässlich tut? Du solltest.
Keine Sorge, ich fange jetzt hier nicht an, jede SA Meldung hier mit einem Forenpost zu duplizieren.
Allerdings: Gestern abend ca. 20 Uhr ist ein "SA" herausgekommen, das hier eine Meldung verdient. Es ist als "highly critical" eingestuft. Mit anderen Worten: Gib mir 5 Minuten und einen betroffen Server, und ich kann alles machen. Alles. (Ich durfte das kürzlich im Kundenauftrag, also ganz legal, bei seinem eigenen Server machen. )
Es geht um das Modul "Fast Permission Administration" (FPA).
Es wird gerne als komfortablere Alternative zu "Filter Permissions" eingesetzt.
Das Security Advisory rät, sofort auf die aktuelle stabile Version (7.x-2.3/6.x-2.5) zu updaten. Wenn es dich betrifft, tu das also. Jetzt.
Hier noch ein Tipp für die Befehlszeile, wenn du wie ich Entwicklungsserver mit recht vielen Drupal Instanzen hast - das Kommando zeigt dir alle Unterverzeichnisse, wo das Modul installiert ist.
find -L . -name fpa.info
Zur Frage: Muss man diese Aufregung jetzt bei jedem Sicherheitsupdate machen?
Klare Antwort: NEIN.
Die meisten Sicherheitslücken lassen nur Angriffs-Szenarien zu, die einerseits recht hohe Anforderungen haben (Angreifer hat schon viele Rechte) und andererseits recht wenig bringen. Ich guck mir die SAs dann an und sehe "dieses Angriffsszenario kommt bei uns nicht in Frage - reicht also, das mit dem nächsten Gesamtupdate zu machen".
Zur Frage: Drupal hat ja andauernd Sicherheitsupdates, sollte ich lieber ein anderes System wählen?
Klare Antwort: NEIN.
Manche andere Systeme machen ihre Sicherheitsupdates nicht transparent. Das verschafft böswilligen Angreifern, die die Sicherheitslücken eh kennen, einen Vorteil, denn die Anwender wiegen sich in Sicherheit.
Bei Drupal wird dagegen eine "Full Disclosure" Strategie gefahren. Das heißt: Sobald eine Sicherheitslücke behoben ist, wird sie veröffentlicht und gewissenhafte Systemadmins können ihr System absichern.
Und jetzt die Gretchenfrage: Wie hältst du's mit Sicherheitsupdates?
;-)
Axel
- Anmelden oder Registrieren um Kommentare zu schreiben
Hallo Axel, finde ich gut das
am 27.06.2013 - 14:49 Uhr
Hallo Axel,
finde ich gut das Thema aufzugreifen, ja ich erhalte die Security News seit einigen Wochen (habe es vorher auch links liegen gelassen...).
Diese haben sogar einen eigenen Ordner in meinem Thunderbird bekommen und bleiben dort, falls mal Probleme auftreten kann ich so schnell checken ob ich eines der Module irgendwo installiert habe.
Sofort reagieren tue ich eher nicht, je nach Meldung.... da die Seiten einfach nicht wichtig genug sind für Hacker und falls doch wird das immer bereit liegende Backup eingespielt (dann natürlich mit vorherigen Sicherheitsupdates...)
Mir ist die offene Strategie auch sehr viel lieber und 100% sichere Systeme gibt es meiner Meinung nach nicht.
Und zu der Frage ob man lieber ein anderes System wählen sollte, ähm.. nee.
Viele Grüße Jenna
axel.rutz schrieb Zur Frage:
am 28.06.2013 - 06:16 Uhr
Zur Frage: Drupal hat ja andauernd Sicherheitsupdates, sollte ich lieber ein anderes System wählen?
l
also drupal 7 hatte sehr wenig sicherheitsupdates! ebenso die wichtigen module.
C.A.W. Webdesign