[TYPO3-german] Sicherheitslecks in Extension "sr_feuser_register"

[Marcel Burkhalter]

> Naja, wenn das TYPO3 Security Team ein Bulletin veröffentlicht, gibt es
> sich Mühe, Dinge eindeutig und klar zu formulieren, damit es möglichst
> wenig Missverständnisse gibt. Das heißt, wenn da "Severity: HIGH" steht,
>  haben sich einige Leute vorher darüber Gedanken gemacht.

Diese wichtige und wertvolle Arbeit wollte ich keinesfalls diskreditieren!


>> Eigentlich wollte ich ja genau das Gegenteil: eine detaillierte 
>> Beschreibung
>> zur Severity, keinesfalls Beschönigungen! Denn ich weiss nach wie vor 
>> nicht,
>> wie gefährlich denn nun diese Lecks in "sr_feuser_register" genau sind...
>
> Es gibt normalerweise "Low", "Medium" und "High" als Typen... Wir haben
> uns für "High" entschieden. Was könnte das wohl bedeuten? :)

Hmm, High bedeutet wohl ernste Sache, schnell reagieren. Aber wenn man 
duzende TYPO3 Installationen am laufen hat, dann ist eine Lücke die EIN 
Hosting zerschiessen kann "ernst" und eine die ALLE Hostings auf dem Server 
zerschiesen kann "TOD-ernst". Daher ist das für mich schon relevant.
Ev. sollte man noch "Ultra-High" einführen ;)


> Hier [1] steht übrigens, dass wir bei den Bulletins eine "policy of
> least disclosure" verfolgen, d. h., solange wir dies tun, werden wir in
> Bulletins keine Details veröffentlichen. Alles, was wichtig ist, steht
> aber im Bulletin drin.

Gibt es als etablierte Webagentur die Möglichkeit, in einen erlauchten 
Personenkreis aufgenommen zu werden, der mehr erfährt? Oder muss man dazu 
jemanden im Coreteam/Securityteam stellen?


Gruss
Marcel