Blog

Blog

Tickende Zeitbomben: Zu wenige TYPO3-Admins spielen Security-Patches ein

Ich habe mir gerade mal die Download-Zahlen zu den Fixes der jüngsten schwerwiegenden Sicherheitsprobleme angeschaut – und war ehrlich gesagt etwas überrascht, und zwar im negativen Sinne.

Ich habe mir gerade mal die Download-Zahlen zu den Fixes der jüngsten schwerwiegenden Sicherheitsprobleme angeschaut – und war ehrlich gesagt etwas überrascht, und zwar im negativen Sinne. Ein Beispiel: „ftpbrowser“ wurde insgesamt über 4500 mal aus dem TER heruntergeladen – der zugehörige Security Fix bis heute (10 Tage nach dem Bulletin) aber nicht mal 100 mal! Und „fechangepassword“ sowie „civserv“ weisen ähnlich schlechte Raten auf.

Da fragt man sich doch, wie kann das sein?

  • Ein großer Anteil der Downloads war sicherlich nur zum Testen – ok. Wieviel Prozent mag das ausmachen? Ich hätte bisher so 75% vermutet, aber das kann natürlich voll daneben liegen. Und der Anteil wird sicherlich je nach Charakter der Extension variieren.
  • Admins, die nicht informiert sind. Das wäre traurig – die typo3-announce Mailingliste sollte Pflichtprogramm für jeden Admin sein!
  • Sonstige Gründe, dass ein Admin seinen Job nicht tut. Tja, die soll es wohl geben.
  • Gar nicht gewartete Server: Es gibt erschreckend viele TYPO3-Server, die irgendwann von irgendwem aufgesetzt wurden, und seitdem allenfalls noch redaktionell betreut werden. Tickende Zeitbomben…

In der Vergangenheit hat das noch ganz gut geklappt. Wir können aber sicher davon ausgehen, dass dies sich ändern wird: Schon jetzt werden Server mit bekannten TYPO3-Löchern automatisiert gesucht und gehackt. Und das wird noch deutlich schlimmer werden, jede Wette.

Die Frage für das TYPO3-Projekt lautet natürlich: „was tun?“

Aus meiner Sicht kann eine Optimierung des Bulletin-Verfahrens die Admin-Arbeit (z.B. per „TYPO3 Patch-Day„) sicherlich deutlich erleichtern. Einen Quantensprung in der Umsetzung von Fehlerbehebungen wird es aber erst geben, wenn automatisierte und/oder teilautomatisierte Warn- und Updateverfahren verfügbar sind. Dies wurde zwar bereits mehrfach andiskutiert, aber der genaue „Fahrplan“ steht noch aus…

Ihr Browser ist veraltet!

Bitte aktualisieren Sie Ihren Browser, um diese Website korrekt dazustellen. Den Browser jetzt aktualisieren

Diese Webseite verwendet Cookies und das Webanalyse-Tool Google Analytics. Durch die Nutzung unserer Seiten erklären Sie sich damit einverstanden.

Eine Widerspruchsmöglichkeit finden Sie in unserer Datenschutzerklärung.
Einverstanden