Tickende Zeitbomben: Zu wenige TYPO3-Admins spielen Security-Patches ein
Donnerstag, 19. Juli 2007 09:10 - Autor: Ekkehard Gümbel
Ich habe mir gerade mal die Download-Zahlen zu den Fixes der jüngsten schwerwiegenden Sicherheitsprobleme angeschaut - und war ehrlich gesagt etwas überrascht, und zwar im negativen Sinne. Ein Beispiel: “ftpbrowser” wurde insgesamt über 4500 mal aus dem TER heruntergeladen - der zugehörige Security Fix bis heute (10 Tage nach dem Bulletin) aber nicht mal 100 mal! Und “fechangepassword” sowie “civserv” weisen ähnlich schlechte Raten auf.
Da fragt man sich doch, wie kann das sein?
- Ein großer Anteil der Downloads war sicherlich nur zum Testen - ok. Wieviel Prozent mag das ausmachen? Ich hätte bisher so 75% vermutet, aber das kann natürlich voll daneben liegen. Und der Anteil wird sicherlich je nach Charakter der Extension variieren.
- Admins, die nicht informiert sind. Das wäre traurig - die typo3-announce Mailingliste sollte Pflichtprogramm für jeden Admin sein!
- Sonstige Gründe, dass ein Admin seinen Job nicht tut. Tja, die soll es wohl geben.
- Gar nicht gewartete Server: Es gibt erschreckend viele TYPO3-Server, die irgendwann von irgendwem aufgesetzt wurden, und seitdem allenfalls noch redaktionell betreut werden. Tickende Zeitbomben…
In der Vergangenheit hat das noch ganz gut geklappt. Wir können aber sicher davon ausgehen, dass dies sich ändern wird: Schon jetzt werden Server mit bekannten TYPO3-Löchern automatisiert gesucht und gehackt. Und das wird noch deutlich schlimmer werden, jede Wette.
Die Frage für das TYPO3-Projekt lautet natürlich: “was tun?”
Aus meiner Sicht kann eine Optimierung des Bulletin-Verfahrens die Admin-Arbeit (z.B. per “TYPO3 Patch-Day“) sicherlich deutlich erleichtern. Einen Quantensprung in der Umsetzung von Fehlerbehebungen wird es aber erst geben, wenn automatisierte und/oder teilautomatisierte Warn- und Updateverfahren verfügbar sind. Dies wurde zwar bereits mehrfach andiskutiert, aber der genaue “Fahrplan” steht noch aus…
Juli 19th, 2007 09:47
Hi,
da setzt halt mal wer was auf und dann läuft das dhain, egal was für eine TYPO3-Version, egal welche Extensions.
Sinnvoll wäre, dass man im Repository oder noch viel besser beim Login sieht: “2 Extensions (ext1 , ext 2) sind veraltet und weisen Sicherheitslücken auf - bitte umgehend updaten! Denn das Problem ist, dass die Leute, die ein nicht gewartetes TYPO3 einsetzen, sicher nie auf typo3.org o.ä rumsurfen!
Also irgend ein automatisch aktualisierter Feed wäre absolut notwendig, um hier ein Bewusstsein zu schaffen!
Juli 19th, 2007 09:56
Hallo Georg: genau! Solche Dinge meinte ich ja mit “automatisierte und/oder teilautomatisierte Warn- und Updateverfahren”
Juli 19th, 2007 10:40
[...] TYPO3 Security Blog erwähnt Ekkehard gerade, dass zu wenige Betreiber von TYPO3 Installationen aktuelle Updates von [...]
Juli 19th, 2007 10:54
Hi Thomas, in Deinem Blogeintrag http://www.fi-ausbilden.de/blo.....sind-faul/ kommentierst Du:
> Dazu müste allerdings gewähleistet sein, dass
> nur das Sicherheitslcoch in der Extension
> gestopft ist und nicht neue Funktionen
> hinzukommen, die eventuell noch konfiguriert
> werden müssen.
Exakt! Das Problem hatten wir auf der letzten Snowboard-Tour schon mal diskutiert. Das Ergebnis war, dass es für einen zuverlässigen Update-Automatismus erforderlich ist, die TER-Struktur zu erweiter (quasi “Branches” vorzusehen). Dies ist auch der Punkt, warum ein solches Feature leider nicht “mal eben” implementiert werden kann.
Juli 19th, 2007 11:01
Ich denke das ein solcher Update Feed trotz allem möglich und sinnvoll ist. IMO brauchen wir noch nicht einmal branches. Wenn das Popup/Meldung lang genug nervt wird sich schon einer drum kümmern. Die Meldungen sürfen natürlich nicht abgestellt werden können.
Ich denke wir werden das mal bei der t3o Überarbeitung mit aufnehmen…
Juli 19th, 2007 11:06
Klar, hab ich auch nicht behauptet
Davon würde ich nicht ausgehen! Die Leute sind gegen solche Meldungen “abgehärtet”. Was automatisch geht, sollte automatisch sein! Natürlich ist die Meldung an sich besser als gar nichts!
Juli 19th, 2007 11:15
Na ja, im Prinzip habt ihr beide Recht: “Popup/Meldung” ist halt ein einfacher erster Schritt, Teilautomatisierung ein schwierigerer zweiter, Vollautomatisiserung ein komplexer dritter.
Juli 19th, 2007 12:51
Hallo Ekki,
dass ein Security Update einer EXT nicht so häufig runtergeladen wird wie die Original-EXT kann mehrere Gründe haben. Ein paar hast Du schon genannt; weitere wären (z.B.)
1.) Die EXT läuft im Intranet, der Exploit kann von “bösen Externen” garnicht gemacht werden, der Admin überwacht seine Logs, und spricht persönlich mit dem, der versucht den Server zu kompromittieren.
2.) Die EXT wurde deinstalliert.
3.) Der FIX wurde schon selber vorher bemerkt und einfach still und heimlich geändert.
Daraus nun zu schliessen, dass wir einen automatischen Update Mechanismus brauchen ist gefehlt. Das Problem was ich sehe, wenn die Updates auch noch vollautomatisch passieren
1.) Das Update kann mit der installierten PHP Version nicht zusammenspielen. (Gerade in letzter Zeit sind wahre Wunder passiert mit neuen PHP Versionen.)
2.) Das Update ist inkompatibel mit einer Software, die auf der kaputten Version aufsetzt.
etc. In größeren Installationen findet man da sehr komplexe Zusammenhänge.
Die Lösung ist ein wachsamer Admin, der sich der Probleme bewusst ist, und im Einzefall das sinnvolle tut (selber Patch einbauen, Version nicht updaten, da hinter firewall, patch einspielen…)
Was passiert nun mit nicht wachsamen Admins? Hmm, nun, die werden gehackt (früher oder später, dass sie gehackt werden ist sicher.) Bleibt die Frage: Ist das schlimm? Ich denke es ich nicht schlimm, wenn TYPO3 und das Security Team keine Schuld trifft, und die trifft es immer dann nicht, wenn es ein Bulletin gab, was lange vorher bekannt war. Dann ist das natürlich schlimm für den Admin. Nun: Tut das im Einzelfall weh? Dem Admin schon, dem Rest der Welt eher weniger, die schaut sich dann nach einem besseren Admin um.
In diesem Sinne: _WO_ ist eigentlich das Problem?
Juli 19th, 2007 13:14
[...] Tickende Zeitbomben: Zu wenige TYPO3-Admins spielen Security-Patches ein: [...]
Juli 19th, 2007 14:03
Eine Sache noch:
… für die TYPO3 - Extensions gibt es immerhin schon die Extension “ter_update_check”, die nachsieht, ob es eine neue Extension - Version gibt…
Das wäre meines Erachtens schonmal ein Ansatz. Wenn man das Ding in den Core integriert und (konfigurierbar) regelmäßig ausführen läßt und die Meldungen in der bekannten gelben Box ausgibt, dann hat man “wenigstens” schonmal das Thema “Melden von neuen Versionen” vom Tisch, ohne dass sich jemand dei Announce-Liste abonieren muss…
Alles nur kleine Schritte, aber besser kleine als keine Schritte…
Juli 19th, 2007 14:14
[...] beschreibt der TYPO3 Security Blog, wie leichtfertig einige TYPO3-Anwender mit einer Sicherheitslücke bei der Erweiterung [...]
Juli 19th, 2007 22:21
Hallo Jürgen!
Mit den Risiken eines vollautomatischen Updates, die Du ansprichst, sind natürlich da. Ein Grund mehr, zunächst in Richtung eines halbautomatsichen Verfahrens zu denken. Und selbst wenn es eines tages das vollautomatische gibt, wird das garantiert nicht zwingend sein…
> _WO_ ist eigentlich das Problem?
Also ich sehe zwei Dinge: (a) Jeder Admin freut sich über qualifizierte Arbeitserleichterung. (b) Wenn sich demnächst zunehmend TYPO3-Würmer o.ä. durch das Netz wurmen, wird das dem Ruf des Produkts (und damit auch unserem eigenen) abträglich sein - egal ob da zehntausend Admins bzw. deren Auftraggeber selbst schuld sind!
In technologischer Hinsicht werden gerade gewaltige Anstrengungen unternommen, auch in Zukunft noch _das_ CMS der Wahl zu bleiben. Aus meiner Sicht gehört dazu eben auch ein hohes Maß an struktureller Sicherheit!
August 28th, 2007 12:47
Ich sehe noch einen weiteren Punkt warum Sicherheitsupdates weniger als Extensions geladen werden. Vielleicht nicht der vernünftigste aber halt ein weiterer Grund ist, dass vielleicht Leute genauso wie ich handeln und direkt die Extension als ganzes neu runterladen.
Dadurch steigt der Download Counter der Extension und nicht des Updates.
August 28th, 2007 14:00
… was meinst Du mit “Counter des Updates”? Die Zahlen die man im TER sieht?
Die sind so zu verstehen:
575 / 6
-> 575 mal insgesamt heruntergeladen, 6 mal seid dem letzten Update der Extension. Wenn Du also ne neue Version der Extension installierst, dann erhöht sich die 575 auf 576 und die 6 auf ne 7.
Das hat nichts mit eine “UPDATE!” - Funktion im Extension - Manager zu tun…
August 29th, 2007 13:30
Das hab ich schon verstanden. Das “Update!” bezieht sich alleine auf Aktionen lokal in der Installation.
Ab und an werden ja aber auch Security Patches direkt zum Download mit verlinkt. Das sind genau die auf die ich mich beziehe.
Denn es ist mir ehrlich gesagt zu umständlich diese Patche einzuspielen.
Aktuell bietet es sich an die Extension “TER Update Check”(ter_update_check) zu verwenden. Um auf einfache Art seine installierten Extensions aktuell zu halten.
Oktober 27th, 2007 01:02
Ein automatischer Update einer Extension könnte eventuell mit sonsitgen installierten eigenen oder fremden Extensions unkompatibel sein.
In einem solchen Fall könnte mir eine Webseite kaputgehen, ohne dass ich es sofort merke und meinem Kunden dadurch wertvolle Anfragen entgehen. Neue Extensions oder neue Versionen derselben müssen zunächst auf einer Seite, die nicht produktiv ist getestet werden! Einen automatischen uptdate - erst recht einer, der nicht abgeschaltet werden kann - wäre für mich ein Grund eine solche Extension nicht zu verwenden
Oktober 27th, 2007 16:08
Hallo Lina,
ja genau, das macht es ja so schwierig… Die gesamte TER-Struktur müsste daraufhin angepasst werden, denn ein Security Upgrade (das nur fehlerhaften Code fixt) ist ja momentan nicht von einem Funktionsupgrade (das naturgemäß potenziell Kompatibilitätsprobleme mit sich bringen kann) zu unterscheiden.
Ein “dummes” Autoupdate wird es garantiert nicht geben, keine Sorge… dann wie gesagt eher automatische Warnungen, möglicherweise gekoppelt mit einer direkten Verknüpfung zum manuellen Upgrade.
Oktober 27th, 2007 21:09
Auch in einem Security Update, das vermeintlich nur fehlerhaften Code fixt können unerwartete Seiteneffekte auftreten. Sicherlich wird versucht diese durch Namenskonventionen etc pp gering zu halten. Doch trotz allem darf ein solcher Update meiner Meinung nach nicht ohne umfangreiches Debugging in ein bestehendes System integriert werden. Da geht es für einen Kunden schnell mal um tausende von Euro.
Grüße Lina
Dezember 18th, 2007 11:34
Ich als (unfreiwilliger) Admin einiger Root-Server, auf denen auch TYPO3 läuft kann sagen was eine Ursache für nicht eingespielte Sicherheitsupdates ist: Bei uns wird TYPO3 von Entwicklern eingespielt, die aber nicht gleichzeitig administrieren. Wohl aber jede Menge Extensions einspielen und sich hinterher für die Kiste nicht verantwortlich fühlen.
Meiner Meinung nach ist ein vollautomatischer Update-Notify notwendig, d.h. eine E-Mail die automatisch verschickt wird, sobald ein Update für die TYPO3-Instanz oder eine der installierten Extensions verfügbar ist. Eine vollautomatische Installation halte ich nicht für sinnvoll, weil man ja in der Regel nach einer Installation prüfen will, ob alles wie geplant gelaufen ist und deswegen den Zeitpunkt der Installation selbst bestimmen können muss…