Startseite
  • » Home
  • » Handbuch & FAQ
  • » Forum
  • » Übersetzungsserver
  • » Suche
Startseite › Forum › Drupalcenter.de › Module ›

Wichtiges Sicherheitsupdate für "Fast Permission Administration" (FPA)

Eingetragen von axel.rutz (31)
am 27.06.2013 - 13:23 Uhr in
  • Module

Liebe Drupal Gemeinde,

Hand aufs Herz: Liest du die Security Advisories (SA) oder kennst jemanden, der das für dich verlässlich tut? Du solltest.

Keine Sorge, ich fange jetzt hier nicht an, jede SA Meldung hier mit einem Forenpost zu duplizieren.

Allerdings: Gestern abend ca. 20 Uhr ist ein "SA" herausgekommen, das hier eine Meldung verdient. Es ist als "highly critical" eingestuft. Mit anderen Worten: Gib mir 5 Minuten und einen betroffen Server, und ich kann alles machen. Alles. (Ich durfte das kürzlich im Kundenauftrag, also ganz legal, bei seinem eigenen Server machen. )

Es geht um das Modul "Fast Permission Administration" (FPA).

Es wird gerne als komfortablere Alternative zu "Filter Permissions" eingesetzt.

Das Security Advisory rät, sofort auf die aktuelle stabile Version (7.x-2.3/6.x-2.5) zu updaten. Wenn es dich betrifft, tu das also. Jetzt.

Hier noch ein Tipp für die Befehlszeile, wenn du wie ich Entwicklungsserver mit recht vielen Drupal Instanzen hast - das Kommando zeigt dir alle Unterverzeichnisse, wo das Modul installiert ist.

find -L . -name fpa.info

Zur Frage: Muss man diese Aufregung jetzt bei jedem Sicherheitsupdate machen?
Klare Antwort: NEIN.
Die meisten Sicherheitslücken lassen nur Angriffs-Szenarien zu, die einerseits recht hohe Anforderungen haben (Angreifer hat schon viele Rechte) und andererseits recht wenig bringen. Ich guck mir die SAs dann an und sehe "dieses Angriffsszenario kommt bei uns nicht in Frage - reicht also, das mit dem nächsten Gesamtupdate zu machen".

Zur Frage: Drupal hat ja andauernd Sicherheitsupdates, sollte ich lieber ein anderes System wählen?
Klare Antwort: NEIN.
Manche andere Systeme machen ihre Sicherheitsupdates nicht transparent. Das verschafft böswilligen Angreifern, die die Sicherheitslücken eh kennen, einen Vorteil, denn die Anwender wiegen sich in Sicherheit.
Bei Drupal wird dagegen eine "Full Disclosure" Strategie gefahren. Das heißt: Sobald eine Sicherheitslücke behoben ist, wird sie veröffentlicht und gewissenhafte Systemadmins können ihr System absichern.

Und jetzt die Gretchenfrage: Wie hältst du's mit Sicherheitsupdates?

;-)
Axel

‹ Problem mit Bilderupload im CKEditor Wichtiges Sicherheitsupdate für "Fast Permission Administration" (FPA) ›
  • Anmelden oder Registrieren um Kommentare zu schreiben

Hallo Axel, finde ich gut das

Eingetragen von Jenna (1880)
am 27.06.2013 - 15:49 Uhr

Hallo Axel,

finde ich gut das Thema aufzugreifen, ja ich erhalte die Security News seit einigen Wochen (habe es vorher auch links liegen gelassen...).

Diese haben sogar einen eigenen Ordner in meinem Thunderbird bekommen und bleiben dort, falls mal Probleme auftreten kann ich so schnell checken ob ich eines der Module irgendwo installiert habe.
Sofort reagieren tue ich eher nicht, je nach Meldung.... da die Seiten einfach nicht wichtig genug sind für Hacker und falls doch wird das immer bereit liegende Backup eingespielt (dann natürlich mit vorherigen Sicherheitsupdates...)

Mir ist die offene Strategie auch sehr viel lieber und 100% sichere Systeme gibt es meiner Meinung nach nicht.
Und zu der Frage ob man lieber ein anderes System wählen sollte, ähm.. nee.

Viele Grüße Jenna

  • Anmelden oder Registrieren um Kommentare zu schreiben

axel.rutz schrieb Zur Frage:

Eingetragen von caw (2749)
am 28.06.2013 - 07:16 Uhr
axel.rutz schrieb

Zur Frage: Drupal hat ja andauernd Sicherheitsupdates, sollte ich lieber ein anderes System wählen?
l

also drupal 7 hatte sehr wenig sicherheitsupdates! ebenso die wichtigen module.

C.A.W. Webdesign

  • Anmelden oder Registrieren um Kommentare zu schreiben

Benutzeranmeldung

  • Registrieren
  • Neues Passwort anfordern

Aktive Forenthemen

  • Konto löschen, wie? (Drupalorg/Drupalcenter)
  • Font Awesome lokal einbinden
  • Block ausgabe Body Splitten
  • [Gelöst] cron und Seitenereignisse nicht sichtbar in: /admin/reports/dblog (uuuups)
  • RSS-Feed von Dritten in Block auf der Frontpage zeigen
  • Drupal10 erkennt php nicht korrekt
  • Drupal 10 und Content Security Policy (CSP)
  • footnotes bei D10 und CKE5
  • Export/Import der Einstellungen von Ansichten
  • Views und Entitäten
  • cannot be empty. in Drupal\Core\Database\Query\Condition->condition() (line 117
  • Datentransfer zwischen zwei Servern nach Drupal-Update auf 8.9.1 [gelöst]
Weiter

Neue Kommentare

  • Widerruf der Einwilligung und Löschung der personenbezogenen Dat
    vor 21 Stunden 53 Minuten
  • Ja, genau das habe ich getan,
    vor 1 Tag 18 Stunden
  • Modulbeschreibung und Dokumentation gelesen und befolgt?
    vor 1 Tag 20 Stunden
  • Das mit dem Ckeditor kenne ich
    vor 2 Tagen 11 Stunden
  • Bilder positionieren ..
    vor 2 Tagen 14 Stunden
  • Feed ..
    vor 1 Woche 2 Tagen
  • Composer ohne php-check
    vor 1 Woche 2 Tagen
  • Feeds Import
    vor 1 Woche 2 Tagen
  • Aggregator läuft nun doch mit php 8.2 / Drupal 10
    vor 1 Woche 4 Tagen
  • Aggregator
    vor 1 Woche 5 Tagen

Statistik

Beiträge im Forum: 248628
Registrierte User: 19809

Neue User:

  • Jerrylearl
  • xJuliusCaesar
  • Ivantrulk

» Alle User anzeigen

User nach Punkten sortiert:
wla9318
stBorchert6003
quiptime4972
Tobias Bähr4019
bv3924
ronald3845
md3717
Thoor3678
Alexander Langer3416
Exterior2903
» User nach Punkten
Zur Zeit sind 0 User und 4 Gäste online.

Hauptmenü

  • » Home
  • » Handbuch & FAQ
  • » Forum
  • » Übersetzungsserver
  • » Suche

Quicklinks I

  • Infos
  • Drupal Showcase
  • Installation
  • Update
  • Forum
  • Team
  • Verhaltensregeln

Quicklinks II

  • Drupal Jobs
  • FAQ
  • Drupal-Kochbuch
  • Best Practice - Drupal Sites - Guidelines
  • Drupal How To's

Quicklinks III

  • Tipps & Tricks
  • Drupal Theme System
  • Theme Handbuch
  • Leitfaden zur Entwicklung von Modulen

RSS & Twitter

  • Drupal Planet deutsch
  • RSS Feed News
  • RSS Feed Planet
  • Twitter Drupalcenter
Drupalcenter Team | Impressum & Datenschutz | Kontakt
Angetrieben von Drupal | Drupal is a registered trademark of Dries Buytaert.
Drupal Initiative - Drupal Association