Current time: 11-23-2024, 02:22 PM Hello There, Guest! (LoginRegister)


Post Reply 
Geerbte Sicherheitsprobleme?
Author Message
Donni Offline
Junior Member
*

Posts: 21
Joined: Nov 2006
Reputation: 0
Post: #1
Question Geerbte Sicherheitsprobleme?
Hallo zusammen!

Ich bin gerade mehr oder weniger zufällig auf zwei aktuelle Mailingslists-Posts gestoßen, bei denen es um (scheinbar gravierende) Sicherheitsprobleme in VHCS geht und für die es auch einen Exploit gibt :
http://www.securityfocus.com/archive/1/489314
http://www.securityfocus.com/archive/1/489540

Da ispCP ja mal die selbe Codebasis hatte und auf dem alten VHCS Design aufsetzt, frage ich mich jetzt natürlich, ob diese Probleme prinzipiell auch hier bestehen. Kann mich da jemand aufklären?

Vielleicht kann das ganze ja auch nochmal als Anregung aufgefasst werden, den Code nach möglichen Sicherheitslücken zu durchforsten?!

Gruss
Dominik
03-28-2008 08:00 AM
Find all posts by this user Quote this message in a reply
joximu Offline
helper
*****
Moderators

Posts: 7,024
Joined: Jan 2007
Reputation: 92
Post: #2
RE: Geerbte Sicherheitsprobleme?
Wir haben schon einen Kurztest mit diesem Exploit gemacht und konnten nicht ins System - das heisst jedoch nicht, dass ispCP keine Lücken hat - aber einiges wurde doch verändert seit VHCS.

zB. wird ispCP defaultmässig mit fastcgi ausgeführt - also kein www-user und mit suexec, was ja laut dem zweiten Link für das Beheben eine Voraussetzung ist.
Inwiefern sich das Management der htaccess dateien *geändert* hat, kann ich nicht sagen - aber da passierte auf jeden Fall etwas.

Gruss J
03-28-2008 08:13 AM
Visit this user's website Find all posts by this user Quote this message in a reply
Donni Offline
Junior Member
*

Posts: 21
Joined: Nov 2006
Reputation: 0
Post: #3
RE: Geerbte Sicherheitsprobleme?
Es ist auf jeden Fall schön zu hören, dass sich mit der Problematik befasst wird. Das war ja zu düsteren VHCS Zeiten auch mal ganz anders Wink

Vielleicht besteht ja mal die Möglichkeit (nach dem Release der V1.0) den Quelltext einem "Security-Audit" zu unterziehen. Es soll ja doch den ein oder anderen "Hacker" / "Sicherheits-Spezi" geben, der sowas macht. Ich finde es zumindest wichtig, der Sicherheit einen möglichst hohen Stellenwert einzuräumen - nicht das es mal so ein Desaster wie seinerzeit mit den verschiedenen Lücken und Patches bei VHCS gibt...

Gruss
Dominik
03-28-2008 08:22 AM
Find all posts by this user Quote this message in a reply
ZooL Offline
Moderator
*****
Moderators

Posts: 3,429
Joined: Jan 2007
Reputation: 79
Post: #4
RE: Geerbte Sicherheitsprobleme?
Donni Wrote:Es ist auf jeden Fall schön zu hören, dass sich mit der Problematik befasst wird. Das war ja zu düsteren VHCS Zeiten auch mal ganz anders Wink

Vielleicht besteht ja mal die Möglichkeit (nach dem Release der V1.0) den Quelltext einem "Security-Audit" zu unterziehen. Es soll ja doch den ein oder anderen "Hacker" / "Sicherheits-Spezi" geben, der sowas macht. Ich finde es zumindest wichtig, der Sicherheit einen möglichst hohen Stellenwert einzuräumen - nicht das es mal so ein Desaster wie seinerzeit mit den verschiedenen Lücken und Patches bei VHCS gibt...

Gruss
Dominik

da stimme ich dir voll und ganz zu, aber wenigstens gab es dann patches :-D oder zumindest einen. Big Grin
03-28-2008 08:35 AM
Visit this user's website Find all posts by this user Quote this message in a reply
joximu Offline
helper
*****
Moderators

Posts: 7,024
Joined: Jan 2007
Reputation: 92
Post: #5
RE: Geerbte Sicherheitsprobleme?
Ja, ein Patch - man bekam nie das komplette Paket inkl. dem Patch zusammen (wenigstens nicht offiziell) und das schon seit nun ziemlich genau 2 Jahren...

Oder ging dein Spruch eher in Richtung Redmond, wo man manchmal viel länger auf einen Patch warten muss Smile Smile
03-28-2008 09:06 AM
Visit this user's website Find all posts by this user Quote this message in a reply
Post Reply 


Forum Jump:


User(s) browsing this thread: 1 Guest(s)