[gelöst] Updates Drupal 8 für meine Webseite

Wenn es darum geht, das System sicher zu halten, reichen regelmäßige Updates nicht aus. Daß wir kritische Sicherheits-Updates unter drei Stunden eingespielt haben sollten, hat die Drupal-Community 2014 mit dem so genannten "Drupalgeddon" schmerzhaft lernen müssen. Siehe z.B.: "WARNUNG: Systeme (Drupal 7 und 6 mit DBTNG-Modul), die nicht am 15.10. innerhalb von 3 Stunden gepatcht wurden, sind evtl. infiltriert!".

Das zeitnahe Einspielen von Sicherheitsupdates oder zumindest das zeitnahe Absichern von Webanwendungen können einzelne Admin leider nicht allein gewährleisten. Das heißt so ein Service erfordert mindestens Kooperation oder mehrere Mitarbeiter.innen, mit den entsprechenden Fähigkeiten, Zugängen und Bereitschaftszeiten.

Also die Wahrheit liegt m.E. in der Mitte.
Ja, es gibt manchmal Sicherheitsupdates, die ein sofortiges Handeln erfordern.
Allerdings werden diese vom Drupal-Sicherheitsteam normal drei Tage vorher angekündigt.
Wenn man einen verandtwortungsvollen Dienstleister hat, dann spielt dieser dann Stunden nach der Veröffentlichung den Patch ein. Volle Updates dauern zu lange, wenn man mehr als zehn Seiten zu betreuen hat. Das kann man dann nacholen.

Und weiterhin sind die beiden Drupalgeddons in 12 Jahren, seit ich im Drupal-Boot rudere, genau zweimal vorgekommen.
Zweieinhalbmal, wenn man mitrechnet, dass beim zweiten Mal letztes Jahr dann ein weiteres hochkritisches Update kurz nach dem ersten nachgeschoben wurde.

Der Hinweis auf die Ereignisse im Oktober 2014 soll nur deutlich machen, daß wir als Community als erstes mal die Erfahrung gemacht haben, daß nach der Veröffentlichung des Sicherheitsupdates nach sehr kurzer Zeit Angriffe auf zigtausend Drupal-Website automatisiert durchgeführt wurden. Auf die Bedrohung durch automatisierte Angreifer, kann man meiner Meinung nach nur mit neuen Strategien – am besten auch automatisiert – reagieren. Wenn keine Zeit zum sofortigen Patchen da ist, dann muss man die Website eben erstmal unzugänglich für Hacker machen (d.h. Wartungsmodus reicht nicht). Das machen wir auch bei Kunden, die kein Premium-Support buchen wollen/können. Das Risiko, daß ein Sicherheitspatch nicht kurzfristig angewandt werden kann ist vor allem hoch, wenn die Webanwendung sonst nicht regelmäßig mit Updates versorgt wird. Denn Patches werden in Regel nur gegen die aktuelle Codebase angelegt.

Für die Angreifbarkeit der Website ist es unerheblich, ob die Lücke im Core oder einem Contrib-Modul liegt. Bei Contrib-Modulen gibt es viel häufiger auch sehr kritische Lücken (d.h. angreifbar von uneingeloggten Nutzern, d.h. auch Hack-Bots). Und deshalb gibt es da keine Mitte. Verantwortungsvolle Admins können sich eben keine Zeit lassen, Systeme abzusichern.
Die allgemeine Bedrohung durch die Seltenheit schwerwiegender Sicherheitslücken im Core, die aufgrund der guten Arbeit der Core-Entwickler tatsächlich sehr selten sind zu relativieren ist somit problematisch. Und daß man sich inzwischen bemüht, die schlimmsten Situationen ein paar Tage vorher anzukündigen ist eines, was man aus den Ereignissen im Oktober 2014 gelernt hat. Aber das Ausbleiben einer solchen Warnung ist noch keine Entwarnung für die Website. Ich verlasse mich nicht mal auf Mails oder Tweets des Sicherheitsteams. Was zählt sind die Security Advisories auf Drupal.org insbesondere während der definierten Zeitfenster. Aber auch bei den Zeitfenstern hatten wir inzwischen schon Ausnahmen ...