Was tun bei sicherheitskritischen Fehlern in Modulen?

schlaucher · Beitrag von **schlaucher** » So 5. Nov 2006, 19:58

Hallo Contenido Community,

Ich möchte gerne ein Thema zur Diskusion stellen, welches alle hier im Forum betrifft:

Beim Test eines Moduls, welches schon länger Zeit hier im Forum existiert, habe ich eine Sicherheitslücke entdeckt, die weitreichende Folgen für eine Präsentation mit diesem Modul haben kann.

Nach Rücksprache mit den Moderatoren möchte ich nun Eure Meinung wissen, wie man in so einem Fall weiter vorgehen soll.

1.) Ich poste den Fehler ins Forum, auch auf die Gefahr hin, dass dies von Dritten ausgenutzt wird.

2.) Ich nenne das Modul und den Lösungsansatz, wobei das Punkt 1 recht nahe kommt.

3.) Man ändert nur den Code in den Forenbeiträge und verhält sich an sonsten ruhig?

4.) Man nennt nur das Modul und Betroffene können sich melden?

Wie ist Eure Meinung dazu?

wosch · Beitrag von **wosch** » So 5. Nov 2006, 20:33

Hallo schlaucher,

Kompliment für dein Post.

Meine, nicht maßgebende, Meinung dazu:

Wenn 100% klar ist das es ein Sicherheitsrisiko ist:

nennen aller Fakten, auch die Lücke, offen im Forum,
nur so können andere lernen und zukünftig diese Lücke vermeiden.

Diese Lücke, egal wie gefährlich sie ist, wird erst dann zur allgemeinen Gefahr wenn sie in bestimmten Kreisen allgemeingut ist.

Und allgemeingut wird sie nur wenn sie nur einigen wenigen bekannt ist,
und wenn bei anderen Modulen der gefährliche Code wieder verwendet wird kommt es zu einem Teufelskreis der nicht unterbrochen werden kann.

Offenheit ist immer eine gute Vermeidungsstrategie.

Aber nur meine unmaßgebliche Meinung dazu.

Seelauer · Beitrag von **Seelauer** » So 5. Nov 2006, 21:49

Hallo Schlaucher,
danke für den Hinweis.
Meiner Meinung nach "Augen zu" und durch

und hier offenbaren.
Hier wird die gesamte interessierte Contenido-Gemeinde erreicht. Und dazu gibt es dann sicher, wie so oft, hilfreiche Beiträge.

i-fekt · Beitrag von **i-fekt** » So 5. Nov 2006, 22:22

Poste alles mal.

kummer · Beitrag von **kummer** » Mo 6. Nov 2006, 09:12

unbedingt posten! dann können alle betroffenen einen update vornehmen. ganz verschleiern wird ohnehin nie gelingen. deshalb besser so offen, dass alle, die es benutzen, es auch erfahren.

stony · Beitrag von **stony** » Mo 6. Nov 2006, 16:37

wenn sich wirklich jemand damit beschäftigt lücken zu finden wird es wohl auch schon gefunden haben! Also her mit dem Bugfix!!!

stese · Beitrag von **stese** » Mo 6. Nov 2006, 17:20

und bitte auch den eigentlichen autor per pm/mail oder sowas benachrichtigen - zur not kann ein moderator das eigentliche modul aus dem forum entfernen - wenn die sicherheitslücke wirklich kritisch ist und kein update verfügbar ist

schlaucher · Beitrag von **schlaucher** » Mo 6. Nov 2006, 19:54

O.k.

Ich denke auch, dass es das Beste ist, die Sicherheitslücke zu nennen, wollte aber auch noch mal Eure Meinung wissen.

Hier das Posting: http://contenido.org/forum/viewtopic.php?p=91168#91168

Gruß
schlaucher

Beitrag von **Halchteranerin** » Mo 6. Nov 2006, 21:05

stese hat geschrieben:und bitte auch den eigentlichen autor per pm/mail oder sowas benachrichtigen - zur not kann ein moderator das eigentliche modul aus dem forum entfernen - wenn die sicherheitslücke wirklich kritisch ist und kein update verfügbar ist

Das Problem ist, dass agons Modul betroffen ist. agon ist aber kein Mitglied mehr und seine Postings lassen sich aus mir unerfindlichen Gruenden nicht editieren.

stese · Beitrag von **stese** » Mo 6. Nov 2006, 22:48

cool. da muss ein admin her ;) ich liebe das phpbb (ironie aus.)

Beitrag von **HerrB** » Di 7. Nov 2006, 00:18

Wurde mir der Link schon mal geschickt?

Gruß
HerrB

Beitrag von **Halchteranerin** » Di 7. Nov 2006, 13:08

HerrB hat geschrieben:Wurde mir der Link schon mal geschickt?

Ja, der Herr.