Kommentare zu: Tickende Zeitbomben: Zu wenige TYPO3-Admins spielen Security-Patches ein

Von: Chris

Chris — Tue, 18 Dec 2007 09:34:36 +0000

Ich als (unfreiwilliger) Admin einiger Root-Server, auf denen auch TYPO3 läuft kann sagen was eine Ursache für nicht eingespielte Sicherheitsupdates ist: Bei uns wird TYPO3 von Entwicklern eingespielt, die aber nicht gleichzeitig administrieren. Wohl aber jede Menge Extensions einspielen und sich hinterher für die Kiste nicht verantwortlich fühlen.
Meiner Meinung nach ist ein vollautomatischer Update-Notify notwendig, d.h. eine E-Mail die automatisch verschickt wird, sobald ein Update für die TYPO3-Instanz oder eine der installierten Extensions verfügbar ist. Eine vollautomatische Installation halte ich nicht für sinnvoll, weil man ja in der Regel nach einer Installation prüfen will, ob alles wie geplant gelaufen ist und deswegen den Zeitpunkt der Installation selbst bestimmen können muss…

Von: Lina

Lina — Sat, 27 Oct 2007 19:09:12 +0000

Auch in einem Security Update, das vermeintlich nur fehlerhaften Code fixt können unerwartete Seiteneffekte auftreten. Sicherlich wird versucht diese durch Namenskonventionen etc pp gering zu halten. Doch trotz allem darf ein solcher Update meiner Meinung nach nicht ohne umfangreiches Debugging in ein bestehendes System integriert werden. Da geht es für einen Kunden schnell mal um tausende von Euro.

Grüße Lina

Von: Ekkehard Gümbel

Ekkehard Gümbel — Sat, 27 Oct 2007 14:08:17 +0000

Hallo Lina,
ja genau, das macht es ja so schwierig… Die gesamte TER-Struktur müsste daraufhin angepasst werden, denn ein Security Upgrade (das nur fehlerhaften Code fixt) ist ja momentan nicht von einem Funktionsupgrade (das naturgemäß potenziell Kompatibilitätsprobleme mit sich bringen kann) zu unterscheiden.
Ein “dummes” Autoupdate wird es garantiert nicht geben, keine Sorge… dann wie gesagt eher automatische Warnungen, möglicherweise gekoppelt mit einer direkten Verknüpfung zum manuellen Upgrade.

Von: Lina

Lina — Fri, 26 Oct 2007 23:02:24 +0000

Ein automatischer Update einer Extension könnte eventuell mit sonsitgen installierten eigenen oder fremden Extensions unkompatibel sein.
In einem solchen Fall könnte mir eine Webseite kaputgehen, ohne dass ich es sofort merke und meinem Kunden dadurch wertvolle Anfragen entgehen. Neue Extensions oder neue Versionen derselben müssen zunächst auf einer Seite, die nicht produktiv ist getestet werden! Einen automatischen uptdate - erst recht einer, der nicht abgeschaltet werden kann - wäre für mich ein Grund eine solche Extension nicht zu verwenden

Von: Sebastian

Sebastian — Wed, 29 Aug 2007 11:30:52 +0000

Das hab ich schon verstanden. Das “Update!” bezieht sich alleine auf Aktionen lokal in der Installation.

Ab und an werden ja aber auch Security Patches direkt zum Download mit verlinkt. Das sind genau die auf die ich mich beziehe.
Denn es ist mir ehrlich gesagt zu umständlich diese Patche einzuspielen.

Aktuell bietet es sich an die Extension “TER Update Check”(ter_update_check) zu verwenden. Um auf einfache Art seine installierten Extensions aktuell zu halten.

Von: Thomas

Thomas — Tue, 28 Aug 2007 12:00:46 +0000

… was meinst Du mit “Counter des Updates”? Die Zahlen die man im TER sieht?

Die sind so zu verstehen:

575 / 6

-> 575 mal insgesamt heruntergeladen, 6 mal seid dem letzten Update der Extension. Wenn Du also ne neue Version der Extension installierst, dann erhöht sich die 575 auf 576 und die 6 auf ne 7.

Das hat nichts mit eine “UPDATE!” - Funktion im Extension - Manager zu tun…

Von: Sebastian

Sebastian — Tue, 28 Aug 2007 10:47:35 +0000

Ich sehe noch einen weiteren Punkt warum Sicherheitsupdates weniger als Extensions geladen werden. Vielleicht nicht der vernünftigste aber halt ein weiterer Grund ist, dass vielleicht Leute genauso wie ich handeln und direkt die Extension als ganzes neu runterladen.

Dadurch steigt der Download Counter der Extension und nicht des Updates.

Von: Ekkehard Gümbel

Ekkehard Gümbel — Thu, 19 Jul 2007 20:21:14 +0000

Hallo Jürgen!
Mit den Risiken eines vollautomatischen Updates, die Du ansprichst, sind natürlich da. Ein Grund mehr, zunächst in Richtung eines halbautomatsichen Verfahrens zu denken. Und selbst wenn es eines tages das vollautomatische gibt, wird das garantiert nicht zwingend sein…

> _WO_ ist eigentlich das Problem?
Also ich sehe zwei Dinge: (a) Jeder Admin freut sich über qualifizierte Arbeitserleichterung. (b) Wenn sich demnächst zunehmend TYPO3-Würmer o.ä. durch das Netz wurmen, wird das dem Ruf des Produkts (und damit auch unserem eigenen) abträglich sein - egal ob da zehntausend Admins bzw. deren Auftraggeber selbst schuld sind!
In technologischer Hinsicht werden gerade gewaltige Anstrengungen unternommen, auch in Zukunft noch _das_ CMS der Wahl zu bleiben. Aus meiner Sicht gehört dazu eben auch ein hohes Maß an struktureller Sicherheit!

Von: Think! - Blog Rahlfs + Ross Multimedia - Themen Web 2.0, Open Source Software, Communities, Webdesign, Internet, Intranet, Mobile, CRM, Groupware, TYPO3, E-Mail Marketing » Security by obscurity: Das Problem der Typo3 Plugins

Thu, 19 Jul 2007 12:14:28 +0000

[...] beschreibt der TYPO3 Security Blog, wie leichtfertig einige TYPO3-Anwender mit einer Sicherheitslücke bei der Erweiterung [...]

Von: Thomas

Thomas — Thu, 19 Jul 2007 12:03:29 +0000

Eine Sache noch:

… für die TYPO3 - Extensions gibt es immerhin schon die Extension “ter_update_check”, die nachsieht, ob es eine neue Extension - Version gibt…

Das wäre meines Erachtens schonmal ein Ansatz. Wenn man das Ding in den Core integriert und (konfigurierbar) regelmäßig ausführen läßt und die Meldungen in der bekannten gelben Box ausgibt, dann hat man “wenigstens” schonmal das Thema “Melden von neuen Versionen” vom Tisch, ohne dass sich jemand dei Announce-Liste abonieren muss…

Alles nur kleine Schritte, aber besser kleine als keine Schritte…