Startseite
  • » Home
  • » Handbuch & FAQ
  • » Forum
  • » Übersetzungsserver
  • » Suche
Startseite › Forum › Drupalcenter.de › Module ›

Wichtiges Sicherheitsupdate für "Fast Permission Administration" (FPA)

Eingetragen von axel.rutz (31)
am 27.06.2013 - 12:23 Uhr in
  • Module

Liebe Drupal Gemeinde,

Hand aufs Herz: Liest du die Security Advisories (SA) oder kennst jemanden, der das für dich verlässlich tut? Du solltest.

Keine Sorge, ich fange jetzt hier nicht an, jede SA Meldung hier mit einem Forenpost zu duplizieren.

Allerdings: Gestern abend ca. 20 Uhr ist ein "SA" herausgekommen, das hier eine Meldung verdient. Es ist als "highly critical" eingestuft. Mit anderen Worten: Gib mir 5 Minuten und einen betroffen Server, und ich kann alles machen. Alles. (Ich durfte das kürzlich im Kundenauftrag, also ganz legal, bei seinem eigenen Server machen. )

Es geht um das Modul "Fast Permission Administration" (FPA).

Es wird gerne als komfortablere Alternative zu "Filter Permissions" eingesetzt.

Das Security Advisory rät, sofort auf die aktuelle stabile Version (7.x-2.3/6.x-2.5) zu updaten. Wenn es dich betrifft, tu das also. Jetzt.

Hier noch ein Tipp für die Befehlszeile, wenn du wie ich Entwicklungsserver mit recht vielen Drupal Instanzen hast - das Kommando zeigt dir alle Unterverzeichnisse, wo das Modul installiert ist.

find -L . -name fpa.info

Zur Frage: Muss man diese Aufregung jetzt bei jedem Sicherheitsupdate machen?
Klare Antwort: NEIN.
Die meisten Sicherheitslücken lassen nur Angriffs-Szenarien zu, die einerseits recht hohe Anforderungen haben (Angreifer hat schon viele Rechte) und andererseits recht wenig bringen. Ich guck mir die SAs dann an und sehe "dieses Angriffsszenario kommt bei uns nicht in Frage - reicht also, das mit dem nächsten Gesamtupdate zu machen".

Zur Frage: Drupal hat ja andauernd Sicherheitsupdates, sollte ich lieber ein anderes System wählen?
Klare Antwort: NEIN.
Manche andere Systeme machen ihre Sicherheitsupdates nicht transparent. Das verschafft böswilligen Angreifern, die die Sicherheitslücken eh kennen, einen Vorteil, denn die Anwender wiegen sich in Sicherheit.
Bei Drupal wird dagegen eine "Full Disclosure" Strategie gefahren. Das heißt: Sobald eine Sicherheitslücke behoben ist, wird sie veröffentlicht und gewissenhafte Systemadmins können ihr System absichern.

Und jetzt die Gretchenfrage: Wie hältst du's mit Sicherheitsupdates?

;-)
Axel

‹ Problem mit Bilderupload im CKEditor Wichtiges Sicherheitsupdate für "Fast Permission Administration" (FPA) ›
  • Anmelden oder Registrieren um Kommentare zu schreiben

Hallo Axel, finde ich gut das

Eingetragen von Jenna (1819)
am 27.06.2013 - 14:49 Uhr

Hallo Axel,

finde ich gut das Thema aufzugreifen, ja ich erhalte die Security News seit einigen Wochen (habe es vorher auch links liegen gelassen...).

Diese haben sogar einen eigenen Ordner in meinem Thunderbird bekommen und bleiben dort, falls mal Probleme auftreten kann ich so schnell checken ob ich eines der Module irgendwo installiert habe.
Sofort reagieren tue ich eher nicht, je nach Meldung.... da die Seiten einfach nicht wichtig genug sind für Hacker und falls doch wird das immer bereit liegende Backup eingespielt (dann natürlich mit vorherigen Sicherheitsupdates...)

Mir ist die offene Strategie auch sehr viel lieber und 100% sichere Systeme gibt es meiner Meinung nach nicht.
Und zu der Frage ob man lieber ein anderes System wählen sollte, ähm.. nee.

Viele Grüße Jenna

  • Anmelden oder Registrieren um Kommentare zu schreiben

axel.rutz schrieb Zur Frage:

Eingetragen von caw (2695)
am 28.06.2013 - 06:16 Uhr
axel.rutz schrieb

Zur Frage: Drupal hat ja andauernd Sicherheitsupdates, sollte ich lieber ein anderes System wählen?
l

also drupal 7 hatte sehr wenig sicherheitsupdates! ebenso die wichtigen module.

C.A.W. Webdesign

  • Anmelden oder Registrieren um Kommentare zu schreiben

Benutzeranmeldung

  • Registrieren
  • Neues Passwort anfordern

Aktive Forenthemen

  • Wer ist online Block
  • Doppelte Anzeige von Node im View
  • Content Ex-/Import
  • URL-Alias von bestehendem Link wird gelöscht und auf -0 gesetzt 404 Fehler entsteht
  • Ausblenden von Taxonomy wenn diese keinen Inhalt haben
  • Image als Anhang
  • [gelöst] Benutzer erstellen ohne Berechtigung zum ändern von E-Mail oder Passwort
  • HTTP ERROR 500, wenn der Node eines bestimmten Typs gespeichert wird oder ein neuer Inhalt dieses Typs erzeugt werden soll
  • Module modifizieren zb Statuses
  • Exposed Filter einer View in seperatem Block darstellen, wie kann ich die exposed Filter der zug. View deaktivieren
  • Website ohne öffentlichen Zugriff
  • »Geschwister« Nodes anzeigen
Weiter

Neue Kommentare

  • dinmikkith schrieb Ja du hast
    vor 1 Tag 24 Minuten
  • SaarlandToday schrieb Es gibt
    vor 1 Tag 8 Stunden
  • ich hab das Problem gefunden!
    vor 1 Tag 9 Stunden
  • Sorry, das mit dem Theme war
    vor 1 Tag 9 Stunden
  • Zitat: Es gibt in den
    vor 1 Tag 10 Stunden
  • Es gibt in dem Template das
    vor 1 Tag 20 Stunden
  • Zitat: da es dort eine
    vor 1 Tag 20 Stunden
  • Sorry, dachte das ich das
    vor 1 Tag 23 Stunden
  • Ich habe den Fehler gemacht
    vor 2 Tagen 28 Minuten
  • Kein zusätzliches Modul nötig
    vor 2 Tagen 1 Stunde

Statistik

Beiträge im Forum: 245939
Registrierte User: 18825

Neue User:

  • Damian1802
  • MrWebMV
  • kiba

» Alle User anzeigen

User nach Punkten sortiert:
wla9007
stBorchert6003
quiptime4972
Tobias Bähr4019
bv3916
ronald3829
md3717
Thoor3678
Alexander Langer3416
Exterior2903
» User nach Punkten
Zur Zeit sind 0 User und 6 Gäste online.

Hauptmenü

  • » Home
  • » Handbuch & FAQ
  • » Forum
  • » Übersetzungsserver
  • » Suche

Quicklinks I

  • Infos
  • Drupal Showcase
  • Installation
  • Update
  • Forum
  • Team
  • Verhaltensregeln

Quicklinks II

  • Drupal Jobs
  • FAQ
  • Drupal-Kochbuch
  • Best Practice - Drupal Sites - Guidelines
  • Drupal How To's

Quicklinks III

  • Tipps & Tricks
  • Drupal Theme System
  • Theme Handbuch
  • Leitfaden zur Entwicklung von Modulen

RSS & Twitter

  • Drupal Planet deutsch
  • RSS Feed News
  • RSS Feed Planet
  • Twitter Drupalcenter
Drupalcenter Team | Impressum & Datenschutz | Kontakt
Angetrieben von Drupal | Drupal is a registered trademark of Dries Buytaert.
Drupal Initiative - Drupal Association