Schlechte Noten für Drupal in einer IBM-Sicherheitsstudie
Laut des X-Force-Sicherheitsreports von IBM liegt Drupal nun in den Top 10 der Software mit den meisten Schwachstellen. Der unrühmliche erste Platz geht in dieser Studie nun an Apple vor Joomla! und Microsoft (die die Liste 2007 noch anführten).
Den Vorstoß der PHP-Programme Joomla, WordPress und Drupal in die Top-Ten führt X-Force darauf zurück, dass immer häufiger Sicherheitslücken in Webanwendungen vornehmlich durch Cross-Site-Scripting (XSS) oder SQL Injection gemeldet werden. Mehr als die Hälfte aller gemeldeten Schwachstellen (51 Prozent) waren auf Webserver-Anwendungen zurückzuführen.
Den vollständigen X-Force-Bericht stellt IBM bereit unter:
IBM Internet Security Systems X-Force® 2008 Mid-Year Trend Statistics (PDF, ca. 79KB )
Ich bin gespannt auf die vielen Kommentare, die dieser Bericht hier sicherlich auslösen wird.
- Anmelden oder Registrieren um Kommentare zu schreiben
Interessantes
am 27.08.2008 - 21:27 Uhr
Interessantes Studienergebnis, aber kein Grund zur Panik. Ich sehe das Ergebnis aus diversen Gründen relativ relaxt - obowhl ich Apple-Besitzer und Drupaler bin:
Statistiken muss man auch lesen können, zudem braucht man etwas Hintergrundwissen. Hacker sind nicht dumm und bevorzugen lohnende Ziele, d.h. Systeme mit hoher Verbreitung und leichter Erreichbarkeit. So können sie in kurzer Zeit mit geringem Aufwand möglichst viele Kompromittierungsversuche starten. Zunächst einmal sagt die Statistik daher etwas über Verbreitung aus.
Ich kann auch ganz flott ne Software schreiben, die nur auf ner alten SGI Workstation mit IRIX läuft. Da werde ich ewig warten können, ehe es jemanden reizen würde, das Ding zu hacken.
Beim Überfliegen der Studie ist auch nicht klar ersichtlich, inwiefern die unter den Systemen (Joomla, Drupal) liegenden Systeme die gefundene Schwachstellen begünstigen. Ich denke der eine oder andere hat 2006 mitbekommen wie Stefan Esser as PHP Security Response Team verließ, weil er mit seinen Forderungen und Vorschlägen PHP von innen sicherer zu machen auf taube Ohren stieß. Esser ist übrigens Entwickler der PHP-Sicherheits-Erweiterung Suhosin.
Suhosin ist auf Servern, gerade bei den großen Hostern, aber oft ebenso wenig anzutreffen wie ModSecurity als Erweiterung des Webservers und PHPIDS als Bestandteil von PHP Anwendungen. Auf Entwicklerseite mangelt es oft am Verständnis dafür, wie man typische Sicherheitslücken in eigenem Code vermeidet.
Von der Zahl gefundener Sicherheitslücken sollte sich niemand blenden lassen. Wichtiger ist, dass die Macher diese schnell fixen (Reaktionszeit) und natürlich, dass man zeitnah Sicherheitspatches einspielt. Leider findet gerade letzteres selten statt. Der Kunde bekommt zum Preis x eine Website auf Basis von Drupal und seitens der Macher heißt es "Fire & Forget". Einen Wartungsvertrag bieten die meisten gar nicht an und noch weniger Kunden sind sicherheitsbewusst genug darauf einzusteigen.
Alles in allem ist Sicherheit also ein sehr vielschichtiges Thema, in dem alle Beteiligten des Gesamtsystems (Hoster, Admins, Coder des OS / Webservers / PHP / Web-Software, Drupaler und Kunden) gefordert sind ihren Teil beizutragen.
Wer mal morgens einen hektischen Anruf bekam, "auf meiner Website starrt mich ein zerbombtes afghanische Kind an!", ist da vielleicht etwas sensibler. Sicherheit hat aber aufgrund des Aufwands ihren Preis und zu wenige der Beteiligten sind bereit diesen zu zahlen. Zumindest bei mir gehört ModSecurity zur Standardausstattung des Apache Webservers. Das ist zwar jedesmal ätzend danach lange auf Fehler reagieren und den Regelsatz anpassen zu müssen, aber wer mal in die Serverprotokolle schaut, wird staunen, was da den ganzen Tag lang so passiert.
Und die wenigstens Hacker sind so dumm ein gehacktes System als solches kenntlich zu machen. Ein Parasit bringt seinen Wirt ja auch nicht direkt beim Befall um...
--
Webseiter