Warum ist eine kritische Sicherheitslücke eigentlich nicht so schlimm? (UPDATE: drupalgeddon2 weaponized)

 

UPDATE am 14. April 2018: Jetzt ist ein automatischer Angriff aktiv, nachdem Checkpoint vor zwei Tagen veröffentlicht hat, wie die Sicherheitslücke funktioniert.

 

Zuerst (vor dem Problem)

Wenn Sie eine Drupal-Webseite haben und dies ist das erste Mal, dass Sie über die kritische Sicherheitslücke vom 28. März 2018 hören, nächsten Abschnitte.

Während der letzten Woche kam es in der weltweiten Drupal-Community zur Unruhe wegen einer Sicherheitslücke, die DrupalGeddon2 genannt wurde. Diese Verwundbarkeit war "sehr kritisch" und machte vielen Menschen Angst - unnötig. Dieser Beitrag versucht zu erklären, wann die Sicherheitslücke zum Problem wird. Wann die Schwachstelle eigentlich kein Problem ist und wie man mit der Situation richtig umgeht.

Das Drupal-Projekt hat ein eigenes Sicherheitsteam, das sich um Sicherheitsfragen kümmert, wie z.B. wie man die gefundenen Probleme richtig patcht und mit der öffentlichen Ankündigung darüber umgeht. Eine Woche vor der Veröffentlichung wurde bekannt gegeben, dass eine Schwachstelle gefunden wurde und ein Patch am 28. März zwischen 18:00-19:30 UTC veröffentlicht wird.

Mit anderen Worten, das ist der Versuch, allen Webseite-Betreiber und Update-Verantwortlichen darauf hinzuweisen, "Seien Sie bereit, Ihre Webseite zu patchen, sobald wir das Update ankündigen". SCHNELLSTMÖGLICH!"

TIP Solutions und viele andere Unternehmen, die die Dinge richtig machen, haben für den 28.-29.3.2018 Zeit reserviert, um ihre Seiten zu patchen.

Am Tag oder wenige Tage vor der Ankündigung.

Als die offizielle Ankündigung über die Sicherheitslücke gemacht wurde, war bekannt, dass der Patch für den Drupal-Core sein wird und das die Webseiten ziemlich einfach gepatcht werden können. Es wird also nicht viel Ausfallzeit geben.

Wir haben die Besitzer der Seiten über das Update informiert und die Seiten werden zwischen 0-48 Stunden nach der Ankündigung gepatcht.

Alle unsere Kunden haben einen Wartungsvertrag, der es zu unserer Verantwortung macht, die Ankündigungen und Seiten ohne zusätzliche Kosten im Auge zu behalten.

Am Tag der Veröffentlichung

Die Cores waren einfach zu patchen (dank des Composer-Workflows und der richtigen Entwicklung), so dass alle Webseiten nach wenigen Stunden sicher gepatcht waren. Der Prozess dauerte etwas länger als erwartet, da wir die Seiten inklusive der Module auf den neuesten Stand gebracht haben.

Nachdem die Seiten gepatcht waren, wurden die Seitenbesitzer erneut informiert.

Aktueller Zeitpunkt (fünf Tage nach der Ankündigung)

Vor der Veröffentlichung gab es Gerüchte, dass es nach einigen Stunden zu Angriffen kommen könnte. Im Moment gibt es noch keine Informationen, ob irgendwelche Seiten kompromittiert wurden. Wir werden sehen....

Manchmal teilen Hacker ihr Wissen, wie sie die Schwachstelle (PoC) ausnutzen können, und manchmal behalten sie das Wissen für sich, ohne dass es jemand bemerkt. Daher können wir nie sicher sein, ob es zu Angriffen kommt oder nicht, also sollten die Seiten trotzdem gepatcht werden.

Wie wissen Sie, ob Ihre Seite gepatcht ist?

Gehen Sie zu https://IhreWebseite.de/admin/reports/status und überprüfen Sie, ob die Versionsnummer des Cores Ihrer Website mindestens 7.58 oder 8.5.1 ist. Alternative hat vielleicht jemand Ihre Seite manuell gepatcht.

Wenn Sie sich nicht sicher sind, wenden Sie sich sofort an den Administrator Ihrer Website!

Zusammenfassung

Sie müssen sich keine Sorgen um die Sicherheitsupdates machen wenn Sie bereit sind die Seite zu patchen, sobald es eine Veröffentlichung gibt. Deshalb ist ein (von weißen Hüten) gefundener Sicherheitspatch eine gute Sache. Schwachstellen zu finden und zu patchen ist ein natürlicher Bestandteil jedes Softwareprojekts.

Vielen Dank an das Sicherheitsteam für den richtigen Umgang mit dem Fall!

 

CEO, Full stack Entwickler
Tipi Koivisto

Neuen Kommentar schreiben