Geerbte Sicherheitsprobleme?

[Donni]

Hallo zusammen!

Ich bin gerade mehr oder weniger zufällig auf zwei aktuelle Mailingslists-Posts gestoßen, bei denen es um (scheinbar gravierende) Sicherheitsprobleme in VHCS geht und für die es auch einen Exploit gibt :
http://www.securityfocus.com/archive/1/489314
http://www.securityfocus.com/archive/1/489540

Da ispCP ja mal die selbe Codebasis hatte und auf dem alten VHCS Design aufsetzt, frage ich mich jetzt natürlich, ob diese Probleme prinzipiell auch hier bestehen. Kann mich da jemand aufklären?

Vielleicht kann das ganze ja auch nochmal als Anregung aufgefasst werden, den Code nach möglichen Sicherheitslücken zu durchforsten?!

Gruss
Dominik

[joximu]

Wir haben schon einen Kurztest mit diesem Exploit gemacht und konnten nicht ins System - das heisst jedoch nicht, dass ispCP keine Lücken hat - aber einiges wurde doch verändert seit VHCS.

zB. wird ispCP defaultmässig mit fastcgi ausgeführt - also kein www-user und mit suexec, was ja laut dem zweiten Link für das Beheben eine Voraussetzung ist.
Inwiefern sich das Management der htaccess dateien *geändert* hat, kann ich nicht sagen - aber da passierte auf jeden Fall etwas.

Gruss J

[Donni]

Es ist auf jeden Fall schön zu hören, dass sich mit der Problematik befasst wird. Das war ja zu düsteren VHCS Zeiten auch mal ganz anders

Vielleicht besteht ja mal die Möglichkeit (nach dem Release der V1.0) den Quelltext einem "Security-Audit" zu unterziehen. Es soll ja doch den ein oder anderen "Hacker" / "Sicherheits-Spezi" geben, der sowas macht. Ich finde es zumindest wichtig, der Sicherheit einen möglichst hohen Stellenwert einzuräumen - nicht das es mal so ein Desaster wie seinerzeit mit den verschiedenen Lücken und Patches bei VHCS gibt...

Gruss
Dominik

[ZooL]

Donni Wrote:Es ist auf jeden Fall schön zu hören, dass sich mit der Problematik befasst wird. Das war ja zu düsteren VHCS Zeiten auch mal ganz anders

Vielleicht besteht ja mal die Möglichkeit (nach dem Release der V1.0) den Quelltext einem "Security-Audit" zu unterziehen. Es soll ja doch den ein oder anderen "Hacker" / "Sicherheits-Spezi" geben, der sowas macht. Ich finde es zumindest wichtig, der Sicherheit einen möglichst hohen Stellenwert einzuräumen - nicht das es mal so ein Desaster wie seinerzeit mit den verschiedenen Lücken und Patches bei VHCS gibt...

Gruss
Dominik

da stimme ich dir voll und ganz zu, aber wenigstens gab es dann patches :-D oder zumindest einen.

[joximu]

Ja, ein Patch - man bekam nie das komplette Paket inkl. dem Patch zusammen (wenigstens nicht offiziell) und das schon seit nun ziemlich genau 2 Jahren...

Oder ging dein Spruch eher in Richtung Redmond, wo man manchmal viel länger auf einen Patch warten muss