Startseite
  • » Home
  • » Handbuch & FAQ
  • » Forum
  • » Übersetzungsserver
  • » Suche
Startseite › Forum › Drupalcenter.de › Module ›

Wichtiges Sicherheitsupdate für "Fast Permission Administration" (FPA)

Eingetragen von axel.rutz (31)
am 27.06.2013 - 13:23 Uhr in
  • Module

Liebe Drupal Gemeinde,

Hand aufs Herz: Liest du die Security Advisories (SA) oder kennst jemanden, der das für dich verlässlich tut? Du solltest.

Keine Sorge, ich fange jetzt hier nicht an, jede SA Meldung hier mit einem Forenpost zu duplizieren.

Allerdings: Gestern abend ca. 20 Uhr ist ein "SA" herausgekommen, das hier eine Meldung verdient. Es ist als "highly critical" eingestuft. Mit anderen Worten: Gib mir 5 Minuten und einen betroffen Server, und ich kann alles machen. Alles. (Ich durfte das kürzlich im Kundenauftrag, also ganz legal, bei seinem eigenen Server machen. )

Es geht um das Modul "Fast Permission Administration" (FPA).

Es wird gerne als komfortablere Alternative zu "Filter Permissions" eingesetzt.

Das Security Advisory rät, sofort auf die aktuelle stabile Version (7.x-2.3/6.x-2.5) zu updaten. Wenn es dich betrifft, tu das also. Jetzt.

Hier noch ein Tipp für die Befehlszeile, wenn du wie ich Entwicklungsserver mit recht vielen Drupal Instanzen hast - das Kommando zeigt dir alle Unterverzeichnisse, wo das Modul installiert ist.

find -L . -name fpa.info

Zur Frage: Muss man diese Aufregung jetzt bei jedem Sicherheitsupdate machen?
Klare Antwort: NEIN.
Die meisten Sicherheitslücken lassen nur Angriffs-Szenarien zu, die einerseits recht hohe Anforderungen haben (Angreifer hat schon viele Rechte) und andererseits recht wenig bringen. Ich guck mir die SAs dann an und sehe "dieses Angriffsszenario kommt bei uns nicht in Frage - reicht also, das mit dem nächsten Gesamtupdate zu machen".

Zur Frage: Drupal hat ja andauernd Sicherheitsupdates, sollte ich lieber ein anderes System wählen?
Klare Antwort: NEIN.
Manche andere Systeme machen ihre Sicherheitsupdates nicht transparent. Das verschafft böswilligen Angreifern, die die Sicherheitslücken eh kennen, einen Vorteil, denn die Anwender wiegen sich in Sicherheit.
Bei Drupal wird dagegen eine "Full Disclosure" Strategie gefahren. Das heißt: Sobald eine Sicherheitslücke behoben ist, wird sie veröffentlicht und gewissenhafte Systemadmins können ihr System absichern.

Und jetzt die Gretchenfrage: Wie hältst du's mit Sicherheitsupdates?

;-)
Axel

‹ Problem mit Bilderupload im CKEditor Wichtiges Sicherheitsupdate für "Fast Permission Administration" (FPA) ›
  • Anmelden oder Registrieren um Kommentare zu schreiben

Hallo Axel, finde ich gut das

Eingetragen von Jenna (1868)
am 27.06.2013 - 15:49 Uhr

Hallo Axel,

finde ich gut das Thema aufzugreifen, ja ich erhalte die Security News seit einigen Wochen (habe es vorher auch links liegen gelassen...).

Diese haben sogar einen eigenen Ordner in meinem Thunderbird bekommen und bleiben dort, falls mal Probleme auftreten kann ich so schnell checken ob ich eines der Module irgendwo installiert habe.
Sofort reagieren tue ich eher nicht, je nach Meldung.... da die Seiten einfach nicht wichtig genug sind für Hacker und falls doch wird das immer bereit liegende Backup eingespielt (dann natürlich mit vorherigen Sicherheitsupdates...)

Mir ist die offene Strategie auch sehr viel lieber und 100% sichere Systeme gibt es meiner Meinung nach nicht.
Und zu der Frage ob man lieber ein anderes System wählen sollte, ähm.. nee.

Viele Grüße Jenna

  • Anmelden oder Registrieren um Kommentare zu schreiben

axel.rutz schrieb Zur Frage:

Eingetragen von caw (2728)
am 28.06.2013 - 07:16 Uhr
axel.rutz schrieb

Zur Frage: Drupal hat ja andauernd Sicherheitsupdates, sollte ich lieber ein anderes System wählen?
l

also drupal 7 hatte sehr wenig sicherheitsupdates! ebenso die wichtigen module.

C.A.W. Webdesign

  • Anmelden oder Registrieren um Kommentare zu schreiben

Benutzeranmeldung

  • Registrieren
  • Neues Passwort anfordern

Aktive Forenthemen

  • rename admin paths - Probleme mit Modul - Alterantive?
  • Probleme mit Installation voa COMPOSER
  • Drupal- Vor- und Nachteile
  • Text Editor verschwunden
  • Wie URL Alias für Entity in Drupal 9 erstellen?
  • in View zwischen Felder einer Node filtern
  • HTML-Code funktioniert nicht
  • Webform, Condtional Logik, Kontrollkästchen
  • Sprachumstellung - alte Nodes nicht mehr über alias erreichbar
  • Produkt im onlineshop soll 0,-€ kosten, funktioniert aber nicht
  • (Gelöst) Matomo Datenschutz iFrame Block, im Backend sichtbar, im Frontend nicht!
  • Develop Custom Field in Views
Weiter

Neue Kommentare

  • Bots ... auf Abstand
    vor 5 Stunden 8 Minuten
  • Cache vs Browser
    vor 5 Stunden 21 Minuten
  • h2b2 schrieb Nach einigen
    vor 2 Tagen 13 Stunden
  • Vor- und Nachteile
    vor 2 Tagen 15 Stunden
  • Alles klar, vielen herzlichen
    vor 4 Tagen 14 Stunden
  • Entitäts- bzw. Felddefinitionen
    vor 5 Tagen 1 Stunde
  • Das liegt am Caching von
    vor 5 Tagen 3 Stunden
  • Hallo, vielen vielen
    vor 5 Tagen 5 Stunden
  • Hast Du drush schon
    vor 5 Tagen 6 Stunden
  • Hallo Walter, ich habe hier
    vor 5 Tagen 6 Stunden

Statistik

Beiträge im Forum: 247795
Registrierte User: 19530

Neue User:

  • DorothyDef
  • amelia12
  • Heatherexona

» Alle User anzeigen

User nach Punkten sortiert:
wla9208
stBorchert6003
quiptime4972
Tobias Bähr4019
bv3924
ronald3845
md3717
Thoor3678
Alexander Langer3416
Exterior2903
» User nach Punkten
Zur Zeit sind 0 User und 1 Gast online.

Hauptmenü

  • » Home
  • » Handbuch & FAQ
  • » Forum
  • » Übersetzungsserver
  • » Suche

Quicklinks I

  • Infos
  • Drupal Showcase
  • Installation
  • Update
  • Forum
  • Team
  • Verhaltensregeln

Quicklinks II

  • Drupal Jobs
  • FAQ
  • Drupal-Kochbuch
  • Best Practice - Drupal Sites - Guidelines
  • Drupal How To's

Quicklinks III

  • Tipps & Tricks
  • Drupal Theme System
  • Theme Handbuch
  • Leitfaden zur Entwicklung von Modulen

RSS & Twitter

  • Drupal Planet deutsch
  • RSS Feed News
  • RSS Feed Planet
  • Twitter Drupalcenter
Drupalcenter Team | Impressum & Datenschutz | Kontakt
Angetrieben von Drupal | Drupal is a registered trademark of Dries Buytaert.
Drupal Initiative - Drupal Association