[TYPO3-german] Vorankuendigung Security-Bulletin

Wed Oct 6 11:28:08 CEST 2010

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256

Hallo zusammen,
insbesondere hallo Axel.

Zu diesem Thema gibt es sicherlich mehrere Lösungen, und keine wird jedem gefallen.

Man könnte Updates regelmäßig zum Patchday verteilen und das dann nicht weiter ankündigen, sagen wir jeden ersten Dienstag im Monat um 8:30. Wirklich dramatische Lücken lassen sich dann natürlich trotzdem immer mal wieder (ebenfalls ohne Ankündigung) ad-hoc einstreuen.
Ich als böser Bube stelle mir jetzt den Wecker auf jeden ersten Dienstag im Monat 8:30 und wenn du zu dieser Zeit anderweitig beschäftigt bist hab ich deine Seite trotzdem geknackt.
Du willst jetzt hoffentlich nicht ernsthaft deine Seite regelmäßig jeden ersten Dienstag im Monat vom Netz nehmen nur um dem zu entgehen.

Oder aber man könnte grundsätzlich fixes ohne Ankündigung veröffentlichen.
Ich als Vollzeit-Böser-Bube kriege das natürlich sofort mit weil wir in der Böse-Buben-Community genügend Leute haben die ständig auf typo3.org die Downloadseite abgrasen, und unter bösen Buben hilft man sich und verteilt die Information über ein neues Update dann mal eben per E-Mail an alle anderen. Kurz gesagt: Egal ob Ankündigung oder nicht, die Information eines neuen Updates wird diejenigen Angreifer die wirklich ernsthaftes Interesse an "viel Schaden" haben im Zweifelsfall trotzdem wenigen Minuten nach Updaterelease erreichen.
Und was machst du jetzt? Nimmst du deine Seite jetzt jeden Morgen vom Netz und erst abends wieder online?

Man könnte vielleicht über die Vorlaufzeit sprechen. Ein Update 24h vorher anzukündigen ist vorher sehr knapp, so schnell kann sich nicht jeder Zeit einplanen. Aber andererseits dürfen Lücken einer gewissen Größe auch nicht sieben Tage ungepatcht bleiben, nur weil man grundsätzlich eine Woche vorher warnt.

Für die Zero-Day-Situation gibt es schlicht keine Lösung. Sobald ein Update veröffentlicht ist hat es der Angreifer, und sofern sich nicht alle Seiten automatisch auf den neuesten Stand bringen (aufgrund des teilweise doch erheblichen Testaufwands: Das ist natürlich auf keinen Fall akzeptabel) hat es der Angreifer diverse Stunden bevor die Seite den Patch erhält.
Eine Ankündigung räumt jedoch jedem Seitenbetreiber die Chance ein, sich zum Stichtag kurz Zeit zu nehmen und ggf. das Update einzuspielen.

Natürlich betreibt nicht jeder seine Webseite vollzeit. Im Gegenteil, ich kenne niemanden der eine Webseite vollzeit pflegt und gleichzeitig in der Lage ist, die Software zu aktualisieren. Selbst von mir betreute Firmen mit weit mehr als 100 Redakteuren (und teilweise auch BE-Administratoren) lassen Patches trotzdem von mir einspielen.

Sofern dir der Aufwand der schnellen Reaktion zu viel ist kannst du natürlich gerne einen Dienstleister dafür bezahlen. Wir übernehmen diesen Dienst (inklusive der notwendigen Tests auf Funktionalität) für viele unserer Kunden im Rahmen des Hostingvertrags (Zusatzleistung mit Support-Stundenkontingent).

Ein Sicherheitsupdate als solches zu erkennen hat übrigens den Vorteil, dass sich Tests eines ungepatchten Cores von Version x auf x+1 in Grenzen halten, da sich solche Sicherheitsupdates grundsätzlich nur das Sicherheitsproblem lösen, keine anderen Probleme. Ein kurzfristiges Sicherheitsupdate ist also deutlich unkritische (was den Testaufwand betrifft) also ein monatlicher Patchday der neben Sicherheitselementen auch noch diverse andere Dinge abdeckt.

Entschuldigung wenn einiges hier schon gesagt wurde, ich habe diese E-Mail um 6:30 geschrieben, war dann aber irgend wie anderweitig beschäftigt und wurde erst durch das eintrudelnde "ist jetzt da" daran erinnert dass da noch eine E-Mail im Postausgang vor sich in dümpelt.

Grüße,

Stephan Schuler
Web-Entwickler

Telefon: +49 (911) 539909 - 0
E-Mail: Stephan.Schuler at netlogix.de
Internet: http://media.netlogix.de

- --
netlogix GmbH & Co. KG
IT-Services | IT-Training | Media
Andernacher Straße 53 | 90411 Nürnberg
Telefon: +49 (911) 539909 - 0 | Fax: +49 (911) 539909 - 99
E-Mail: mailto:info at netlogix.de | Internet: http://www.netlogix.de/

netlogix GmbH & Co. KG ist eingetragen am Amtsgericht Nürnberg (HRA 13338)
Persönlich haftende Gesellschafterin: netlogix Verwaltungs GmbH (HRB 20634)
Umsatzsteuer-Identifikationsnummer: DE 233472254
Geschäftsführer: Stefan Buchta, Matthias Schmidt

________________________________________

Von: typo3-german-bounces at lists.typo3.org [typo3-german-bounces at lists.typo3.org] im Auftrag von Ole Lohmann [Ole.Lohmann at web.de]
Gesendet: Mittwoch, 6. Oktober 2010 05:16
An: 'German TYPO3 Userlist'
Betreff: Re: [TYPO3-german] Vorankuendigung Security-Bulletin

Hallo Steffen,

hin oder her, ob so eine Vorankündigung sinnvoll oder nicht ist. Bin weder
Langschläfer, noch Nebenberufler.

Aber bei mehreren Dutzend Typo3 Systemen ist es leider nicht mal eben getan
die Systeme zu aktulaisieren.
Dazu kommt noch, dass es jedes Mal unterschiedliche Stände sind, weil Kunden
kein Update wollten oder die "alten" System "sicherheitslos" liefen. Dazu
kommt noch alle Kunden über das Update zu informieren und deren okay
einzuholen.... Neben den reinen Update müssen im Anschluss die Seiten ja
auch wieder geprüft werden, ob sie fehlerfrei laufen, ob alle Erweiterungen
funktionieren und und und....

Kann allerdings auch nicht sagen, was die Beste Lösung bei solchen
"Rund-Umschlag" Updates ist.

Gruß Ole

- -----Ursprüngliche Nachricht-----
Von: typo3-german-bounces at lists.typo3.org
[mailto:typo3-german-bounces at lists.typo3.org] Im Auftrag von Steffen Gebert
Gesendet: Mittwoch, 6. Oktober 2010 00:14
An: typo3-german at lists.typo3.org
Betreff: Re: [TYPO3-german] Vorankuendigung Security-Bulletin

> Ich habe Zweifel, ob eine solche Vorankündigung der Sicherheit dient.
> Nicht jeder hat pünktlich zum angekündigten Zeitpunkt auch Zeit, alles
> andere zwecks Installation eines Updates fallen zu lassen, ganz
> abgesehen davon, ob die Server der zu erwartenden Last beim so
> zwangsläufig hervorgerufenen Ansturm der Downloads Stand halten werden.

Wenn du es nicht schaffst, dir für den nächsten Tag eine Stunde Zeit
einzuplanen, wenn es um ein (offensichtlich, da angekündigt) wichtiges
Update geht, dann machst du vielleicht etwas falsch (oder hast schon
einen Termin, bist Nebenberufler, schläfst lange,..).

Im Großen und Ganzen unterstütze ich da die breite Masse, die wohl dem
beipflichten wird, dass es einfacher ist, sich vorab etwas Zeit
einzuplanen, als dann von jetzt auf gleich Gewehr bei Fuß stehen zu
müssen und hier und jetzt kritische Updates zu fahren.

Böse Hacker werden - egal ob angekündigt oder nicht - immer auf der
Suche nach verwundbaren Installationen sein.

Damit es nicht Abend werden muss, wenn die Installation morgen auf sich
gestellt ist (Grund egal), hier mein persönlicher Tipp:
Vorher über Subversion den aktuellen Stand von
https://svn.typo3.org/TYPO3v4/Core/branches/
auschecken, *alle* Installationen darauf umbiegen und einen 5-minütigen
Cron-Job mit "svn update pfad/zu/typo3_src" einrichten. So heilt sich
die Installation von selbst (nichts desto trotz sollte man morgen auch
prüfen, ob das wirklich funktioniert hat! (was es sollte, wenn man's
richtig macht ;-)).

Auf weitere sinnvolle Beiträge!

Steffen

P.S: Downloads laufen über Sourceforge

- --
Steffen Gebert
TYPO3 Core Team Member

Use a newsreader! Check out
http://typo3.org/community/mailing-lists/use-a-news-reader/
_______________________________________________
TYPO3-german mailing list
TYPO3-german at lists.typo3.org
http://lists.typo3.org/cgi-bin/mailman/listinfo/typo3-german

_______________________________________________
TYPO3-german mailing list
TYPO3-german at lists.typo3.org
http://lists.typo3.org/cgi-bin/mailman/listinfo/typo3-german

-----BEGIN PGP SIGNATURE-----
Version: PGP Universal 3.0.0 (Build 2881)
Charset: Windows-1252

wpUDBQFMrEEqpp0IwsibV8MBCLZ2A/0fEgJCAGIJ0UHnZHZPElkpdBIDqWTE+PC9
mjaeWZjFoIlQ7KnWfwa6wyEH5/PdLBC29pUeEm8Msm1V/DNWEEB3mJumWZbNvOKE
jAJleGd0RjYQvl/Jq8XJMsgsPPdrcmESkDXb9itFSSIhJ2XqVBxuCiYmhjezXhDB
7tJo4HbZ5A==
=21hH
-----END PGP SIGNATURE-----