Startseite
  • » Home
  • » Handbuch & FAQ
  • » Forum
  • » Übersetzungsserver
  • » Suche
Startseite › Forum › Drupalcenter.de › Module ›

Wichtiges Sicherheitsupdate für "Fast Permission Administration" (FPA)

Eingetragen von axel.rutz (31)
am 27.06.2013 - 13:23 Uhr in
  • Module

Liebe Drupal Gemeinde,

Hand aufs Herz: Liest du die Security Advisories (SA) oder kennst jemanden, der das für dich verlässlich tut? Du solltest.

Keine Sorge, ich fange jetzt hier nicht an, jede SA Meldung hier mit einem Forenpost zu duplizieren.

Allerdings: Gestern abend ca. 20 Uhr ist ein "SA" herausgekommen, das hier eine Meldung verdient. Es ist als "highly critical" eingestuft. Mit anderen Worten: Gib mir 5 Minuten und einen betroffen Server, und ich kann alles machen. Alles. (Ich durfte das kürzlich im Kundenauftrag, also ganz legal, bei seinem eigenen Server machen. )

Es geht um das Modul "Fast Permission Administration" (FPA).

Es wird gerne als komfortablere Alternative zu "Filter Permissions" eingesetzt.

Das Security Advisory rät, sofort auf die aktuelle stabile Version (7.x-2.3/6.x-2.5) zu updaten. Wenn es dich betrifft, tu das also. Jetzt.

Hier noch ein Tipp für die Befehlszeile, wenn du wie ich Entwicklungsserver mit recht vielen Drupal Instanzen hast - das Kommando zeigt dir alle Unterverzeichnisse, wo das Modul installiert ist.

find -L . -name fpa.info

Zur Frage: Muss man diese Aufregung jetzt bei jedem Sicherheitsupdate machen?
Klare Antwort: NEIN.
Die meisten Sicherheitslücken lassen nur Angriffs-Szenarien zu, die einerseits recht hohe Anforderungen haben (Angreifer hat schon viele Rechte) und andererseits recht wenig bringen. Ich guck mir die SAs dann an und sehe "dieses Angriffsszenario kommt bei uns nicht in Frage - reicht also, das mit dem nächsten Gesamtupdate zu machen".

Zur Frage: Drupal hat ja andauernd Sicherheitsupdates, sollte ich lieber ein anderes System wählen?
Klare Antwort: NEIN.
Manche andere Systeme machen ihre Sicherheitsupdates nicht transparent. Das verschafft böswilligen Angreifern, die die Sicherheitslücken eh kennen, einen Vorteil, denn die Anwender wiegen sich in Sicherheit.
Bei Drupal wird dagegen eine "Full Disclosure" Strategie gefahren. Das heißt: Sobald eine Sicherheitslücke behoben ist, wird sie veröffentlicht und gewissenhafte Systemadmins können ihr System absichern.

Und jetzt die Gretchenfrage: Wie hältst du's mit Sicherheitsupdates?

;-)
Axel

‹ Problem mit Bilderupload im CKEditor Wichtiges Sicherheitsupdate für "Fast Permission Administration" (FPA) ›
  • Anmelden oder Registrieren um Kommentare zu schreiben

Hallo Axel, finde ich gut das

Eingetragen von Jenna (1883)
am 27.06.2013 - 15:49 Uhr

Hallo Axel,

finde ich gut das Thema aufzugreifen, ja ich erhalte die Security News seit einigen Wochen (habe es vorher auch links liegen gelassen...).

Diese haben sogar einen eigenen Ordner in meinem Thunderbird bekommen und bleiben dort, falls mal Probleme auftreten kann ich so schnell checken ob ich eines der Module irgendwo installiert habe.
Sofort reagieren tue ich eher nicht, je nach Meldung.... da die Seiten einfach nicht wichtig genug sind für Hacker und falls doch wird das immer bereit liegende Backup eingespielt (dann natürlich mit vorherigen Sicherheitsupdates...)

Mir ist die offene Strategie auch sehr viel lieber und 100% sichere Systeme gibt es meiner Meinung nach nicht.
Und zu der Frage ob man lieber ein anderes System wählen sollte, ähm.. nee.

Viele Grüße Jenna

  • Anmelden oder Registrieren um Kommentare zu schreiben

axel.rutz schrieb Zur Frage:

Eingetragen von caw (2761)
am 28.06.2013 - 07:16 Uhr
axel.rutz schrieb

Zur Frage: Drupal hat ja andauernd Sicherheitsupdates, sollte ich lieber ein anderes System wählen?
l

also drupal 7 hatte sehr wenig sicherheitsupdates! ebenso die wichtigen module.

  • Anmelden oder Registrieren um Kommentare zu schreiben

Benutzeranmeldung

  • Registrieren
  • Neues Passwort anfordern

Aktive Forenthemen

  • Drupal-Forks und ihre Schwächen/Stärken
  • Probleme mit der darstellun der ogg:image Tags.
  • Wie erlaubt man neuen Benutzern auf die Resetseite zugreifen zu dürfen.
  • Lokale Entwicklungsumgebung auf Windows
  • [gelöst]Abhängigkeiten zweier oder mehrerer Inhaltstypen
  • Drupalcenter tot?
  • Was kann ich gegen ständige Blutergüsse tun?
  • Mir gefällt die Drupal Symfony und deren Composer
  • Mir ist da was aufgefallen ;)
  • Matomo Installation
  • Verständnisfrage private_files in Drupal
  • [gelöst] Drupal 7 Forum Beitrag mit Bilder einstellen
Weiter

Neue Kommentare

  • Nicht nur Sicherheit, sondern auch Integrität Daten wichtig
    vor 7 Minuten 5 Sekunden
  • Ach was dass funktioniert
    vor 1 Stunde 46 Minuten
  • Danke für die ausführliche
    vor 3 Stunden 40 Minuten
  • Also Leute ich freue mich ja
    vor 4 Stunden 22 Minuten
  • Was du brauchst ist der
    vor 4 Stunden 28 Minuten
  • Kommt drauf an
    vor 4 Stunden 49 Minuten
  • Kontextfilter und Relationen sind der richtige Ansatz
    vor 22 Stunden 7 Minuten
  • Zusatzfragen
    vor 1 Tag 23 Stunden
  • DDEV verwaltet Container, sowohl Docker als auch andere
    vor 1 Tag 23 Stunden
  • Entwicklungsumgebung ist nicht nur Server
    vor 1 Tag 23 Stunden

Statistik

Beiträge im Forum: 250053
Registrierte User: 20362

Neue User:

  • LilliNELP
  • Wavermype
  • tom082

» Alle User anzeigen

User nach Punkten sortiert:
wla9456
stBorchert6003
quiptime4972
Tobias Bähr4019
bv3924
ronald3855
md3717
Thoor3678
Alexander Langer3416
Exterior2903
» User nach Punkten
Zur Zeit sind 1 Benutzer und 8 Gäste online.

Benutzer online

  • C_Logemann

Hauptmenü

  • » Home
  • » Handbuch & FAQ
  • » Forum
  • » Übersetzungsserver
  • » Suche

Quicklinks I

  • Infos
  • Drupal Showcase
  • Installation
  • Update
  • Forum
  • Team
  • Verhaltensregeln

Quicklinks II

  • Drupal Jobs
  • FAQ
  • Drupal-Kochbuch
  • Best Practice - Drupal Sites - Guidelines
  • Drupal How To's

Quicklinks III

  • Tipps & Tricks
  • Drupal Theme System
  • Theme Handbuch
  • Leitfaden zur Entwicklung von Modulen

RSS & Twitter

  • Drupal Planet deutsch
  • RSS Feed News
  • RSS Feed Planet
  • Twitter Drupalcenter
Drupalcenter Team | Impressum & Datenschutz | Kontakt
Angetrieben von Drupal | Drupal is a registered trademark of Dries Buytaert.
Drupal Initiative - Drupal Association