Sicherheitslücke

G

ghost1978

New Member
Hallo, ich habe eine Sicherheitslücke entdeckt in einer weit verbreiteten PHP Anwendung. Der Hersteller des Scripts wirbt mit grossen Firmen wie Vodafone oder auch Shell die dieses Script nutzen.

Ich habe den Hersteller versucht über die Sicherheitslücke zu informieren. Per email habe ich dem britischen, amerikanischen und australischen Support geschrieben. Aber den Hersteller scheint das nicht zu interressieren. Nun sind ca. 12 Emails raus und 14 Tage ins Land gezogen. Normalerweise will ich nur Sicherheitslücken veröffentlichen nachdem die Hersteller für patches gesorgt haben. Was meint ihr sollte ich tun bei so einer ignoranz ?

Bei der Sicherheitslücke handelt es sich um eine Local File Inclusion. Also nicht unerheblich.
 
Hallo!
Meine Meinung: Hersteller nochmals anschreiben und ihm die Veröffentlichung zu einem konkreten Termin ankündigen.

mfG
Thorsten
 
Kurze Frage an Ghost:

Wieso will man sich damit so wichtig machen? Und auf einen Artikel verweisen, der beinhaltet, den Betreiber unter Druck zu setzen ist nach der ein oder anderen Auffassung schon einer Nötigung gleich zu setzen! Dies zu veröffentlichen bleibt wohl hoffentlich in jedem Falle ein Gesetzesverstoß, auch wenn der Publisher/Developer/Programmierer der Software kein Grund bisher sah auf die Mail zu antworten. Nach deinem Argumentieren hier, kann ich mir auch schon vorstellen wieso sie nicht bei dir kuschen!

Und wie lange man braucht einen Bug zu fixen oder mehrere hängt ja davon ab, um was es überhaupt geht! Ob das nun noch 4 oder 6 Wochen dauert geht dich nach meinen Erkenntnissen erstmal nichts an! Bugs zu veröffentlichen bringt in keinem Falle dem Nutzer der Software etwas. Wenn es Copyright geschützte Software ist, bringt es auch keinem Programmierer etwas. Somit kann man dan in jedem Falle hoffentlich dagegen vorgehen!

Wenn das nun so schwerwiegende oder auch nur weniger schwerwiegende Bugs sind die innerhalb von wenigen Tagen gefixt werden müssen, sodass du es nicht in irgendwelchen Warezboards und anderen offiziellen Foren postest sollte man allenfalls gerichtlich vorgehen, denn wenn es zum datenverlust oder anderen schaden kommt und der Programmierer davon wusste und nichts unternimmt, soll es noch lange kein Grund sein ein "Ultimatum zu stellen" und dann fröhlich in allen erdenklichen Foren zu posten und so den so genannten "Script kiddies" die möglichkeit zu ermöglichen nach ein zwei tagen ein script kaufen zu können, das diese bugs ausnutzt


Ich hab zwar kein Jura studiert, aber aus rein logischem Verständnis ist die Vorgehensweise falsch
 
Last edited by a moderator:
Vollkommener Unsinn, michael-08!

Erstens sehe ich sein Posting nicht als "wichtigtuererei" an. Er nennt weder das Script noch die entdeckte Sicherheitslücke! Vielmehr fragt er, wie man damit umgehen sollte. Ferner hat er auch nicht gesagt, dass er enttäuscht ist, weil der Bug noch nicht behoben wurde, sondern dass überhaupt keine Reaktion kam.

Es ist legitim und meiner Meinung nach vorbildlich, dass er sich an den Betreiber wendet - auch mit Fristsetzung. Wenn er es rausgefunden hat, dann ist es genauso möglich, dass andere den Bug finden und diesen ausnutzen um andere Systeme zu kompromitieren. Genauso kann man erwarten, dass - wenn jemand sich schon die Mühe macht, den Bug zu melden - sich zumindest bedankt wird bzw. eine Antwort in der Form von: Zur Kenntnis genommen, wir sind dran.

Es ist übrigens legal, Sicherheitslücken zu veröffentlichen. Passiert im OpenSource Bereich täglich. Du scheinst Dich mit der Materie wohl noch nicht so auszukennen.

--marneus
 
Ich sehe das wir marneus.

Sehr vorbildliches Vorgehen, Versagen vom Hersteller. Ich würde auch mit Fristsetzung agieren. Evtl. sollte die Veröffentlichung allerdings über Heise bspw. erfolgen und nicht über irgendein Forum.

Heise kann dich ggf. auch unterstützen um Druck zu machen.

Viel Erfolg, und ich bin gespannt um welche Software es sich handelt.

Ich hab zwar kein Jura studiert, aber aus rein logischem Verständnis ist die Vorgehensweise falsch
Click to expand...
Erklärt einiges.
 
Last edited by a moderator:
Okay, es ist eine weit verbreitete PHP Anwendung. Der Hersteller wirbt mit Vodafone und Shell. Der Bug ist ein Local File Inclusion!

Man kann auch Topfschlagen spielen, aber ich vermute mal, das der ein oder andere sich denken kann um was es geht! Ich nicht! Aber auch egal, darum gehts mir nicht!


Bugfinder A schreibt an Firma X bezüglich eines Bugs eine Mail, bekommt keine Antwort und stellt deswegen ein Ultimatum an Firma X. Firma X antwortet nicht bis zum Termin und Bugfinder A postet fröhlich in Foren den Bug! Wo bitte ist da die Logik? Das kann man einer Nötigung gleich stellen und ausserdem den Endnutzer schaden, da viele nicht in den "Ich habe Bugs zu veröffentlichen Foren" rumschauen und sich so noch weniger absichern können!

Sowas sollte man dann irgendwelchen Portalen überlassen wie chip.de oder sonstwas, die werden wohl dann auch nur eine offizielle "Script X hat einen Bug" Meldung machen und haben auch wohl eher die Resonanz an Publikum als SSF oder andere Foren.

Es war eine Frage an ghost und wie gesagt konkrete Veröffentlichungen sollten meiner Meinung untersagt sein, egal wie, bis man den Endnutzer angesprochen hat und nicht das Interesse an Forenusern befriedigt hat
 
michael-08 said:
konkrete Veröffentlichungen sollten meiner Meinung untersagt sein
Click to expand...
:eek: Wo lebst du bitte? Schonmal darüber nachgedacht, warum es Security-Mailinglisten gibt und warum OpenSource-Software (und nicht OPENSOURCE) ClosedSource-Software so überlegen ist?

Da fasst sich der gebildete Durchschnittsbürger echt an den Kopf.
 
Eine Frage sieht vollkommen anders aus. Du hast mit Deinem (gefährlichen) Halbwissen, gespickt mit juristischer totaler Unwissenheit irgendwelche Unwahrheiten in den Raum gestellt!

Es ist vollkommen legitim, geübte Praxis und zudem für uns als Enduser extrem wünschenswert, wenn Bugs gemeldet werden und - sofern der Hersteller nicht reagiert - veröffentlicht werden.

Eine Veröffentlichung heisst übrigens nicht, dass auch gleichzeitig ein Exploit veröffentlicht wird. Natürlich gibt es genügend Coder, die einen solchen Exploit in windeseile erstellen können, aber ich erwarte von jedem, der 3rd Party Scripts auf seinem Server einsetzt, dass er entsprechende Mailinglisten konsultiert.

Nachwievor sehe ich hier überhaupt keinen Grund, Ghost indirekt so an den Karren zu pissen. Nochmal für Dich zum Mitschreiben: Er hat um Rat gefragt, wie er damit umgehen soll. Keine Androhung, dass Anbieter X ein ignorantes Arschloch ist und er deswegen bei Applikation Y die Bugs Z entdeckt hat, mit der man ABC anstellen kann.

Ich mische mich übrigens deswegen ein, weil ich Deine Postings vollkommen haltlos finde. Du kannst also noch x Mal schreiben, dass das eine Frage an Ghost war. Trolliges Verhalten finde ich zum Kotzen!
 
Hallo!
michael-08 said:
Sowas sollte man dann irgendwelchen Portalen überlassen wie chip.de oder sonstwas, die werden wohl dann auch nur eine offizielle "Script X hat einen Bug" Meldung machen und haben auch wohl eher die Resonanz an Publikum als SSF oder andere Foren.
Click to expand...

[ ] Du hast ganz genau verstanden, in welcher Geschwindigkeit sich Informationen im Internet verbreiten und welche Rollen Suchmaschinen und Indexierung dabei spielen.

mfG
Thorsten
 
Sowas sollte man dann irgendwelchen Portalen überlassen wie chip.de oder sonstwas, die werden wohl dann auch nur eine offizielle "Script X hat einen Bug" Meldung machen und haben auch wohl eher die Resonanz an Publikum als SSF oder andere Foren.
Click to expand...
Du hast anscheinend null Ahnung welche Reputation unser Board genießt. Ich leide nicht unter Selbstüberschätzung, aber ich bin mir sicher, dass wir zusammen mit dem RootForum einen sehr großen Teil der deutschen Serveradmins erreichen.

--marneus
 
Dann fasst du mich falsch auf!

Es wird defintiv nicht gerechtfertigt bleiben es irgendwo zu veröffentlichen! Ein gerichtliches Vorgehen oder die Veröffentlichung auf einem großen Portal kann ich mir vorstellen, und dagegen hab ich auch nichts gesagt.

Aber wenn du dir mein erstes Posting nochmal durchliest, wirst du auch nur das finden.

Stell dir vor, Joomla hat mal wieder irgendwo nen Bug! Bugfinder postet nach einem Ultimatum irgendwo rum das es diese Bugs gibt nur weil bis zu diesem Tag noch kein Fix draussen ist! Das ist auch Wettbewebsschädigend!

Es sollte aber defintiv kein persönlicher Angriff darstellen! Trotzdem ist es meine Meinung, das man als Privatmensch dazu nicht befähigt ist!

Aber ich klinke mich hier aus, da die Diskussion am Ende nichts bringt!

Ich glaube mal gelesen zu haben, dass es einem Untersagt ist Bugs zu veröffentlichen, da man so nicht unbedingt die jenigen erreicht, die es wissen sollen, sondern oftmals die, die es nicht wissen sollen. Das war die einzige Intention und bei Gelegenheit werde ich dies nochmal nachlesen, hab aber grad keine Lust dazu
 
Last edited by a moderator:
Unglaublich! Darf ich fragen, wie lange Du Dich schon mit der Materie Server Administration, Open Source etc. beschäftigst?

Google mal nach "joomla security mailing list". Für Dich werden da unglaubliche Ungerechtigkeiten im Internet zu finden sein...

--marneus
 
Hallo!
michael-08 said:
Stell dir vor, Joomla hat mal wieder irgendwo nen Bug! Bugfinder postet nach einem Ultimatum irgendwo rum das es diese Bugs gibt nur weil bis zu diesem Tag noch kein Fix draussen ist! Das ist auch Wettbewebsschädigend!
Click to expand...
Passiert jeden Tag, überall auf der Welt, im öffentlichen Internet. Nicht nur mit Joomla...

Willkommen bei Realität 2.0!

mfG
Thorten
 
michael-08 said:
das man als Privatmensch dazu nicht befähigt ist!
Click to expand...
Du kannst nicht von dir auf andere schliessen. Wenn du dich dazu nicht befähigt fühlst, dann ist das absolut ok.

Anfangs hatte ich noch gedacht, dass du dich nur mit Linux nicht auskennst, und mit Marketing bzw. Öffentlichkeitsarbeit. Aber jetzt tun sich ja richtige Abgründe auf... :eek:

Ich bin schockiert über deine Einstellung. Solltest du dich auch noch als Wegschauer entpuppen, hast du sämtliches Ansehen bei mir verloren.
 
@michael

Denk doch mal daran das Anbieter von Kommerzieller Software viel Geld mit ihren Programmen verdienen und man doch wenigstens erwarten kann das alles für die Sicherheit des Endverbrauchers getan wird.

Einen Patch für solch eine Lücke zu erstellen wird das Unternehmen, bzw. einen Programmierer wohl 30 Minuten beschäftigen.

Wenn die Unternehmen nicht unter druck gesetzt werden und Sicherheitslücken veröffentlicht werden dann würde es zig tausend mehr lücken geben die Cracker zur Verfügung hätten um Server zu hacken.

Und eine nicht enteckdeckte, bzw. nicht gemeldete Sicherheitslücke ist um einiges gefährlicher als eine öffentliche.

-- Ausserdem hatte ich weder vor den Bug in einem "Warezforum?" zu Posten noch einen "proof of concept" (POC) zu veröffentlichen. Aber was soll man denn mit deiser Sicherheitslücke machen deiner Meinung nach wenn der Hersteller nicht reagiert ?
 
Ich finde den Ansatz von ghost1978 schon ganz richtig. Der erste Schritt ist auf jeden Fall den Hersteller zu verständigen. Einige Entwickler bedanken sich und schließen die Lücke. Andere nehmen zwar davon kenntnis schließen aber nicht die Lücke.

Mir fällt da ganz spontan ein schönes Beispiel ein. Die Entwickler von TeamSpeak wurden über einen kritischen Bug benachrichtigt. Ein Fix wurde allerdings erst veröffentlicht nachdem ein Beitrag auf Heise (http://www.heise.de/newsticker/DoS-Schwachstelle-in-Teamspeak-Server-Update--/meldung/93250) veröffentlicht wurde.

ghost ich finde dein vorgehen vollkommen in Ordnung und würde es selber nicht anderes machen (bei kommerzieller Software).
 
Danke. Ich hab ne Email an Heise geschrieben und die haben sich 2 Minuten Später gleich gemeldet. Die werden nun den Hersteller anschreiben, mal sehen obs was bringt.
 
You must log in or register to reply here.
Back
Top