Willkommen Gast. Bitte anmelden oder registrieren.

Autor Thema: Sicherheitslücken  (Gelesen 2305 mal)

0 Mitglieder und 1 Gast betrachten dieses Thema.

Sammy

  • Bestätigter Nutzer
  • Beiträge: 165
Sicherheitslücken
« am: 14. Mai 2012, 10:00:11 »
Hallo,

ich habe eine Frage, die ich selbst etwas heikel finde und bei der ich mir nicht sicher bin, ob man sie hier je nach Antwort überhaupt beantworten sollte (oder lieber als PM):

Es wird ja immer so allgemein gesagt 'Version xy ist bald nicht mehr im Support und behält wohl auch Sicherheitslücken'.
Gibt es eigentlich einen zentralen Ort (Seite, Feed, Bug-Tracker), an dem Sicherheitsrelevante Bugs verzeichnet sind? Ich erinnere mich an änliches für den Firefox.
Mir geht es weniger darum, andere Seite zu hacken (das kann ja jeder sagen  8)) sondern mehr darum, einzuschätzen, ob meine oder mir 'nahestehende' Seiten ein Problem haben und wie dringend ein Upgrade wäre.

Eigentlich würde ich auch meine 1.0-Seite gerne mal selbst testen und habe auch schon gelernt, dass es wohl zwei Lücken gibt, ich finde aber nicht wirklich genaueres darüber.
Wenn die Zeit da wäre, dann würde ich umstellen, so frage ich mich, ob sich der Aufwand für ein Jahr überhaupt lohnt - das soll aber hier nicht das Thema sein.

btt: Gibt es also eine gute Quelle, bei der man sich belesen kann oder muss man dazu diverse (vielleicht sogar dunkle) Quellen über längere Zeit beobachten und sich sowieso sehr gut in Joomla auskennen? Oder werden solche Informationen eher unter Verschluss gehalten.

Noch mal: Ich selbst habe durchaus gutes damit vor, da wir hier aber im öffentlich sind, soll mir bitte niemand offen antworten, wenn er Missbrauch durch mich oder dritte befürchten würde.

Joomla-Hilfe

  • Oberwetterfrosch (Mod)
  • Beiträge: 155
Antw: Sicherheitslücken
« Antwort #1 am: 14. Mai 2012, 12:05:35 »
Gibt es eigentlich einen zentralen Ort (Seite, Feed, Bug-Tracker), an dem Sicherheitsrelevante Bugs verzeichnet sind?
Nein, jein. Behobene Security Issues stehen in den jeweiligen Release Notes, aber nur mit relativ allgemeiner Beschreibung, weil die Devs natürlich keine Anleitung zum Hacken der nicht aktualisierten Seiten geben wollen. Noch nicht behobene Sicherheitslücken werden streng vertraulich im kleinen Kreis gehalten und landen nicht einmal im Bugtracker.

Zitat
Eigentlich würde ich auch meine 1.0-Seite gerne mal selbst testen und habe auch schon gelernt, dass es wohl zwei Lücken gibt, ich finde aber nicht wirklich genaueres darüber.
Von Joomla selbst wirst du dazu auch nichts erfahren, weil diese Lücken nicht mehr gefixt werden und deshalb... s.o. In Ausnahmefällen wird bei einem Fix der aktuellen Version erwähnt, daß auch veraltete Major Releases betroffen sind, wie z.B. bei einer XSS-Lücke in der index.php. Bei der 1.5 wird es nach dem September genau so aussehen.

Möglicherweise findest du nähere Informationen in den einschlägigen Sercurity Site wie www.secunia.org u.ä. Meist stehen da aber auch nur grobe Informationen und keine genauen Anleitungen zum Testen einer bestimmten Lücke, und manche (wenige) Informationen sind auch schlicht falsch, weil jemand irgendetwas komplett fehlinterpretiert hat.
Dietmar

Die Realität ist eine Halluzination, die durch akuten Alkoholmangel hervorgerufen wird.

Sammy

  • Bestätigter Nutzer
  • Beiträge: 165
Antw: Sicherheitslücken
« Antwort #2 am: 14. Mai 2012, 13:10:05 »
OK. Danke, dann werde ich gar nicht erst versuchen an nähere Informationen zu kommen. Bei dem Aufwand kann ich dann ja gleich die Erweiterung neu schreiben und upgraden :-)

bembelimen

  • moderatives Dielektrikum
  • Beiträge: 227
  • Ich kam, sah und zensierte...
    • Joomla! Vereinsverwaltung
Antw: Sicherheitslücken
« Antwort #3 am: 14. Mai 2012, 18:36:09 »
Für Supportete Versionen ist es recht einfach Sicherheitsrelevante Bugs zu finden, indem man einfach in die Patchdateien schaut und vergleicht, was geändert wurde (sind meistens nur ein paar index.html und 1-2 PHP Dateien).

Wenn du in Google nach den Lücken suchst, wirst du dann auch recht schnell auf entsprechende Seiten landen, die genauere Anleitungen liefern. Sollten hier jetzt aber nicht unbedingt verlinkt werden.

Aber wie du gesagt hattest, der Aufwand lohnt sich nicht.
Joomla! ist auch nur ein Mensch...

Sammy

  • Bestätigter Nutzer
  • Beiträge: 165
Antw: Sicherheitslücken
« Antwort #4 am: 15. Mai 2012, 08:09:43 »
Eine Supportete Version ist also eigentlich leichter zu hacken, weil die Informationen noch frisch und öffentlich sind  ;D.