-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 Hallo zusammen, insbesondere hallo Axel.
Zu diesem Thema gibt es sicherlich mehrere Lösungen, und keine wird jedem gefallen. Man könnte Updates regelmäßig zum Patchday verteilen und das dann nicht weiter ankündigen, sagen wir jeden ersten Dienstag im Monat um 8:30. Wirklich dramatische Lücken lassen sich dann natürlich trotzdem immer mal wieder (ebenfalls ohne Ankündigung) ad-hoc einstreuen. Ich als böser Bube stelle mir jetzt den Wecker auf jeden ersten Dienstag im Monat 8:30 und wenn du zu dieser Zeit anderweitig beschäftigt bist hab ich deine Seite trotzdem geknackt. Du willst jetzt hoffentlich nicht ernsthaft deine Seite regelmäßig jeden ersten Dienstag im Monat vom Netz nehmen nur um dem zu entgehen. Oder aber man könnte grundsätzlich fixes ohne Ankündigung veröffentlichen. Ich als Vollzeit-Böser-Bube kriege das natürlich sofort mit weil wir in der Böse-Buben-Community genügend Leute haben die ständig auf typo3.org die Downloadseite abgrasen, und unter bösen Buben hilft man sich und verteilt die Information über ein neues Update dann mal eben per E-Mail an alle anderen. Kurz gesagt: Egal ob Ankündigung oder nicht, die Information eines neuen Updates wird diejenigen Angreifer die wirklich ernsthaftes Interesse an "viel Schaden" haben im Zweifelsfall trotzdem wenigen Minuten nach Updaterelease erreichen. Und was machst du jetzt? Nimmst du deine Seite jetzt jeden Morgen vom Netz und erst abends wieder online? Man könnte vielleicht über die Vorlaufzeit sprechen. Ein Update 24h vorher anzukündigen ist vorher sehr knapp, so schnell kann sich nicht jeder Zeit einplanen. Aber andererseits dürfen Lücken einer gewissen Größe auch nicht sieben Tage ungepatcht bleiben, nur weil man grundsätzlich eine Woche vorher warnt. Für die Zero-Day-Situation gibt es schlicht keine Lösung. Sobald ein Update veröffentlicht ist hat es der Angreifer, und sofern sich nicht alle Seiten automatisch auf den neuesten Stand bringen (aufgrund des teilweise doch erheblichen Testaufwands: Das ist natürlich auf keinen Fall akzeptabel) hat es der Angreifer diverse Stunden bevor die Seite den Patch erhält. Eine Ankündigung räumt jedoch jedem Seitenbetreiber die Chance ein, sich zum Stichtag kurz Zeit zu nehmen und ggf. das Update einzuspielen. Natürlich betreibt nicht jeder seine Webseite vollzeit. Im Gegenteil, ich kenne niemanden der eine Webseite vollzeit pflegt und gleichzeitig in der Lage ist, die Software zu aktualisieren. Selbst von mir betreute Firmen mit weit mehr als 100 Redakteuren (und teilweise auch BE-Administratoren) lassen Patches trotzdem von mir einspielen. Sofern dir der Aufwand der schnellen Reaktion zu viel ist kannst du natürlich gerne einen Dienstleister dafür bezahlen. Wir übernehmen diesen Dienst (inklusive der notwendigen Tests auf Funktionalität) für viele unserer Kunden im Rahmen des Hostingvertrags (Zusatzleistung mit Support-Stundenkontingent). Ein Sicherheitsupdate als solches zu erkennen hat übrigens den Vorteil, dass sich Tests eines ungepatchten Cores von Version x auf x+1 in Grenzen halten, da sich solche Sicherheitsupdates grundsätzlich nur das Sicherheitsproblem lösen, keine anderen Probleme. Ein kurzfristiges Sicherheitsupdate ist also deutlich unkritische (was den Testaufwand betrifft) also ein monatlicher Patchday der neben Sicherheitselementen auch noch diverse andere Dinge abdeckt. Entschuldigung wenn einiges hier schon gesagt wurde, ich habe diese E-Mail um 6:30 geschrieben, war dann aber irgend wie anderweitig beschäftigt und wurde erst durch das eintrudelnde "ist jetzt da" daran erinnert dass da noch eine E-Mail im Postausgang vor sich in dümpelt. Grüße, Stephan Schuler Web-Entwickler Telefon: +49 (911) 539909 - 0 E-Mail: stephan.schu...@netlogix.de Internet: http://media.netlogix.de - -- netlogix GmbH & Co. KG IT-Services | IT-Training | Media Andernacher Straße 53 | 90411 Nürnberg Telefon: +49 (911) 539909 - 0 | Fax: +49 (911) 539909 - 99 E-Mail: mailto:i...@netlogix.de | Internet: http://www.netlogix.de/ netlogix GmbH & Co. KG ist eingetragen am Amtsgericht Nürnberg (HRA 13338) Persönlich haftende Gesellschafterin: netlogix Verwaltungs GmbH (HRB 20634) Umsatzsteuer-Identifikationsnummer: DE 233472254 Geschäftsführer: Stefan Buchta, Matthias Schmidt ________________________________________ Von: typo3-german-boun...@lists.typo3.org [typo3-german-boun...@lists.typo3.org] im Auftrag von Ole Lohmann [ole.lohm...@web.de] Gesendet: Mittwoch, 6. Oktober 2010 05:16 An: 'German TYPO3 Userlist' Betreff: Re: [TYPO3-german] Vorankuendigung Security-Bulletin Hallo Steffen, hin oder her, ob so eine Vorankündigung sinnvoll oder nicht ist. Bin weder Langschläfer, noch Nebenberufler. Aber bei mehreren Dutzend Typo3 Systemen ist es leider nicht mal eben getan die Systeme zu aktulaisieren. Dazu kommt noch, dass es jedes Mal unterschiedliche Stände sind, weil Kunden kein Update wollten oder die "alten" System "sicherheitslos" liefen. Dazu kommt noch alle Kunden über das Update zu informieren und deren okay einzuholen.... Neben den reinen Update müssen im Anschluss die Seiten ja auch wieder geprüft werden, ob sie fehlerfrei laufen, ob alle Erweiterungen funktionieren und und und.... Kann allerdings auch nicht sagen, was die Beste Lösung bei solchen "Rund-Umschlag" Updates ist. Gruß Ole - -----Ursprüngliche Nachricht----- Von: typo3-german-boun...@lists.typo3.org [mailto:typo3-german-boun...@lists.typo3.org] Im Auftrag von Steffen Gebert Gesendet: Mittwoch, 6. Oktober 2010 00:14 An: typo3-german@lists.typo3.org Betreff: Re: [TYPO3-german] Vorankuendigung Security-Bulletin > Ich habe Zweifel, ob eine solche Vorankündigung der Sicherheit dient. > Nicht jeder hat pünktlich zum angekündigten Zeitpunkt auch Zeit, alles > andere zwecks Installation eines Updates fallen zu lassen, ganz > abgesehen davon, ob die Server der zu erwartenden Last beim so > zwangsläufig hervorgerufenen Ansturm der Downloads Stand halten werden. Wenn du es nicht schaffst, dir für den nächsten Tag eine Stunde Zeit einzuplanen, wenn es um ein (offensichtlich, da angekündigt) wichtiges Update geht, dann machst du vielleicht etwas falsch (oder hast schon einen Termin, bist Nebenberufler, schläfst lange,..). Im Großen und Ganzen unterstütze ich da die breite Masse, die wohl dem beipflichten wird, dass es einfacher ist, sich vorab etwas Zeit einzuplanen, als dann von jetzt auf gleich Gewehr bei Fuß stehen zu müssen und hier und jetzt kritische Updates zu fahren. Böse Hacker werden - egal ob angekündigt oder nicht - immer auf der Suche nach verwundbaren Installationen sein. Damit es nicht Abend werden muss, wenn die Installation morgen auf sich gestellt ist (Grund egal), hier mein persönlicher Tipp: Vorher über Subversion den aktuellen Stand von https://svn.typo3.org/TYPO3v4/Core/branches/ auschecken, *alle* Installationen darauf umbiegen und einen 5-minütigen Cron-Job mit "svn update pfad/zu/typo3_src" einrichten. So heilt sich die Installation von selbst (nichts desto trotz sollte man morgen auch prüfen, ob das wirklich funktioniert hat! (was es sollte, wenn man's richtig macht ;-)). Auf weitere sinnvolle Beiträge! Steffen P.S: Downloads laufen über Sourceforge - -- Steffen Gebert TYPO3 Core Team Member Use a newsreader! Check out http://typo3.org/community/mailing-lists/use-a-news-reader/ _______________________________________________ TYPO3-german mailing list TYPO3-german@lists.typo3.org http://lists.typo3.org/cgi-bin/mailman/listinfo/typo3-german _______________________________________________ TYPO3-german mailing list TYPO3-german@lists.typo3.org http://lists.typo3.org/cgi-bin/mailman/listinfo/typo3-german -----BEGIN PGP SIGNATURE----- Version: PGP Universal 3.0.0 (Build 2881) Charset: Windows-1252 wpUDBQFMrEEqpp0IwsibV8MBCLZ2A/0fEgJCAGIJ0UHnZHZPElkpdBIDqWTE+PC9 mjaeWZjFoIlQ7KnWfwa6wyEH5/PdLBC29pUeEm8Msm1V/DNWEEB3mJumWZbNvOKE jAJleGd0RjYQvl/Jq8XJMsgsPPdrcmESkDXb9itFSSIhJ2XqVBxuCiYmhjezXhDB 7tJo4HbZ5A== =21hH -----END PGP SIGNATURE----- _______________________________________________ TYPO3-german mailing list TYPO3-german@lists.typo3.org http://lists.typo3.org/cgi-bin/mailman/listinfo/typo3-german
