News Sicherheitslücke: Warnung vor kompromittierten Drupal-Installationen

[fethomm]

Am 15. Oktober wurde in Drupal eine schwerwiegende Lücke geschlossen und ein Patch auf Drupal 7.32 bereitgestellt. Sofort nach Bekanntwerden der Lücke setzte eine Angriffswelle auf noch nicht aktualisierte Installationen ein, die jetzt das Sicherheitsteam zu einer ausdrücklichen Warnung veranlasste.

Zur News: Sicherheitslücke: Warnung vor kompromittierten Drupal-Installationen

 

[h3@d1355_h0r53]

Finde die "krasse" Meldung gut. Viele Sicherheitswarnungen sollten so kurz und aussagekräftig sein. Erschreckend ist hier nur wie schnell die Exploits im Umlauf waren, dauerte keinen halben Tag.
Der Fehler selbst, naja. Bin kein großer Programmierer aber Profis sollte das nicht passieren. Andererseits gibt es keinen perfekten Code und wo Menschen arbeiten werden Fehler gemacht.

 

[Schnuecks]

Naja, der letzte Absatz spricht ja auch Bände

Die Lücke war bereits seit rund einem Jahr bekannt, das Potenzial wurde allerdings nicht erkannt.

Würde sagen, das das Potenzial scheinbar schon recht gut erkannt wurde.
So schnelle Infektionen sind doch mit Sicherheit gut vorbereitet.

 

[Cool Master]

Tja man muss nur wissen wie man sein Drupal administriert. Mit Drush (Drupal Shell) z.B. muss man einfach nur das ausführen:

drush pm-update

 

[Schnuecks]

Tja man muss nur wissen wie man sein Drupal administriert. Mit Drush (Drupal Shell) z.B. muss man einfach nur das ausführen:

drush pm-update

Hilft aber nicht bei denen die nicht schnell genug waren oder die Updates nicht immer sofort einspielen.

 

[Morrich]

Und was lernen wir daraus? Bekannte Sicherheitslücken sind doch bitte zeitnah zu schließen und nicht gut 1 Jahr lang offen zu lassen, nur weil man der Meinung ist, dass da kein großes Missbrauchspotenzial vorhanden ist.

Da haben die Drupel Entwickler ja im Grunde noch Schwein gehabt, dass die Exploits erst nach der Info zum Update gebracht wurden und nicht schon in diesem Jahreszeitraum, als von einem Patch noch nichts ins Sicht war.

 

[MrTengu]

Für uns nur ein weiterer Punkt, der uns von Drupal wegbringt. Den Sprung zur Version 8 nehmen wir nicht mehr mit.

Da passiert einfach zuviel Murks, zuviel muss im Core gehackt werden damit einige Fehler nicht auftreten. Wir gehen in Richtung Symfony2.

 

[..Heisenberg..]

Wo sind die Leute die Wordpress ohne ende haten aber Drupal immer als das non-plus-ultra angepriesen haben`?

 

[Fannon]

Hat sich den Patch denn mal jemand angesehen? Das war jetzt keine triviale oder offensichtliche Lücke. Drupal wird auch regelmäßig auf Sicherheit geprüft und gilt als eines der sichersten CMS da draussen.

Natürlich ist nichts wirklich sicher. Die eigentliche news, die das alles so schlimm macht ist dass Hacker das innerhalb weniger Stunden automatisiert ausgenutzt haben. Wie will man so etwas in Zukunft vermeiden? Wenn der Webmaster zu einem ungünstigen Zeitpunkt ins Bett gegangen ist, ist es am nächsten Morgen schon zu spät.

Das Problem ist also eher einer allgemeineren Art, das hilft jetzt nicht es auf Drupal zu schieben, oder Symfony 2 als Alternative zu erklären - alles was Software ist, hat Sicherheitslücken.

Natürlich gäbe es ein paar Möglichkeiten solche Probleme eher zu vermeiden. Und umso komplexer und weiter verbreitet ein System ist, umso höher stehen die Chancen dass genau so etwas passiert.

 

[Cool Master]

Hilft aber nicht bei denen .... oder die Updates nicht immer sofort einspielen.

Bei einer SQL Injection macht man SOFORT ein Update.

Edit:

Natürlich ist nichts wirklich sicher. Die eigentliche news, die das alles so schlimm macht ist dass Hacker das innerhalb weniger Stunden automatisiert ausgenutzt haben. Wie will man so etwas in Zukunft vermeiden? Wenn der Webmaster zu einem ungünstigen Zeitpunkt ins Bett gegangen ist, ist es am nächsten Morgen schon zu spät.

Cron

 

[MrTengu]

Das Problem ist also eher einer allgemeineren Art, das hilft jetzt nicht es auf Drupal zu schieben, oder Symfony 2 als Alternative zu erklären - alles was Software ist, hat Sicherheitslücken.

Wir wechseln nicht wegen der Sicherheitslücken. Uns geht es um die Qualität des Core. Ich hab da ein paar nette Beispiele.

Zum Glück wird in Version 8 endlich was getan und es werden SF2 Komponenten verwendet. Aber nicht, dass die einfach verwendet werden. Nein, es wird wieder was eigenes drum herum gebastelt.

Nein, danke. Es gibt genug CMS Systeme mit SF2 Basis.

 

[Cool Master]

@MrTengu

Wir nutzen Drupal einfach weil es halt 10k+ Module (Erweiterungen) dafür gibt und da gibt es eben nicht so viele CMS Systeme mit so einer Auswahl.

 

[Schnuecks]

Bei einer SQL Injection macht man SOFORT ein Update.

Wer das System nicht innerhalb von sechs Stunden nach Bekanntgabe der Lücke aktualisiert hat, sollte es komplett neu aufsetzen.

Das dürfte für sehr viele ein sehr geringes Zeitfenster dargestellt haben. Ich denke das nicht jeder der Drupal nutzt ständig den Bugtracker oder die Security advisories etc. permanent verfolgt. Sodass es allein von daher schon reichlich knapp war rechtzeitig davon zu erfahren.

 

[Cool Master]

@Schnuecks

Genau deshalb nutzt man Drush. Da schreibt man sich nen kleinen Cron der alle ka, in dem Fall 6 Stunden schaut obs für den Core was gibt wenn ja wird installiert.

Fakt ist nun mal einfach, dass PHP in verbindung von MySQL nicht gerade immer super sicher ist und da sollte man halt immer up2date sein.

Wie gesagt wenn man auf Linux setzt und nur halb wegs was von scripten versteht bekommt das jeder 12 Jährige hin.

 

[Exterior]

@Cool Master
Es wird genug Leute geben, die eine Drupal-Seite auf einem einfachen Webspace laufen haben, da ist's nicht weit her mit Drush

 

[MaverickM]

Ich verstehe nicht, warum die Lücke nicht schon viel früher gepatcht wurde. Egal, ob die Sicherheitslücke schwerwiegend ist, oder nicht: Das Patchen/Fixen solcher hat meiner Meinung nach oberste Priorität!

 

[Cool Master]

@Exterior

Tja man bekommt halt was man zahlt

@Falcon

Recht einfache Antwort:

Drupal 8

das nimmt aktuell sehr viel Resourcen in anspruch vor allem da es erst von der Aplha in die Beta gekommen ist.

 

[Fannon]

@Schnuecks
Genau deshalb nutzt man Drush. Da schreibt man sich nen kleinen Cron der alle ka, in dem Fall 6 Stunden schaut obs für den Core was gibt wenn ja wird installiert.

Nur verwenden die wenigsten Drupal Installationen Drush. Updates automatisch einspielen lassen - hat auch seine Risiken. Aber nach dieser Meldung sind die Risiken es nicht zu tun wohl höher.

 

[Cool Master]

@Fannon

Na ja dafür hat man Backups Zur not spielt man eben wieder das backup zurück.

 

[dylan1982]

In letzter Zeit häufen sich die üblen Lücken in Software, weil eben auch mehr untersucht wird. Hier wurde vielleicht ein Fehler gemacht bei der Einschätzung der Priorität. Da spielt es auch keine Rolle ob etwas Open Source ist oder nicht. Richtig reagieren kann man in solchen Zeitspannen ja eigentlich nur, wenn man selbst an dem Produkt mitentwickelt oder "Glück" hat. Wenn ein großer Anbieter "Sicherheitslücken schließt", weißt du in den meisten Fällen gar nicht was da genau gemacht wurde, es sei denn du entwickelst bei dem Produkt selber mit.

Es ist fast schon off-topic, aber wenn ich dauernd gefühlt lese, dass manche Leute denken man könnte einfach so produktive Services in einem Unternehmen (!!!) innerhalb weniger Stunden und dann auch noch z.B. per cron aktualisieren lassen, das ist schon ein bisschen weit weg von der Realität bzw. echtem "Betrieb".

Für so etwas gibt es geregelte Prozesse, das ist nicht vergleichbar mit dem Nerd der den ganzen Tag auf Bugtrackern rumsurft und sofort die Nightly 0.1a Alpha auf seinem Laptop installieren will, weil neuer = besser. So läuft das nicht.
Wenn du Kunden/Nutzer für ein Produkt hast und da läuft was nicht, dann spielst du nicht einfach salopp ein Backup ein wenn etwas nicht geklappt hat, weil sowas auch erst entschieden werden muss. Meistens nicht durch den Admin selbst, der darf sich eher zu Tode administrieren und verwalten.