Montag, 10. Mai 2010
Sicherheitslücke in Serendipity bis einschließlich 1.5.2
Trackbacks
Trackback-URL für diesen Eintrag
Keine Trackbacks
Kommentare
Ansicht der Kommentare:
(Linear | Verschachtelt)
„Rein durch den Dateinamen“? Das heißt, ihr habt verdachtsunabhängig sämtliche Daten aller Kunden durchsucht, ohne, dass diese dem vorher zugestimmt haben?
Und was soll an einem 'find -n php-xinha.php' so schlimm sein?
Man kann's auch übertreiben... übrigens: die Manituaner sichern wahrscheinlich sogar die Daten auf jedem Kundenserver ohne vorher um Erlaubnis gefragt zu haben!
Man kann's auch übertreiben... übrigens: die Manituaner sichern wahrscheinlich sogar die Daten auf jedem Kundenserver ohne vorher um Erlaubnis gefragt zu haben!
Gefällts dir denn besser wenn irgend eine Fremde Person über dieses Loch den Server nach interessanten Files durchsucht, oder in alle Webseiten irgendwelchen Schadcode einbaut?
Ich gehe davon aus dass das bei Manitu nicht möglich ist, ich habe aber schon einige shared hostings gesehen bei denen das geht.
Ich habe Verständnis dafür dass man in solchen Fällen die Shared Hostings durchsucht. Ich würde sogar noch weiter gehen und die Seite ausschalten wenn der Kunde nicht reagiert.
Ich gehe davon aus dass das bei Manitu nicht möglich ist, ich habe aber schon einige shared hostings gesehen bei denen das geht.
Ich habe Verständnis dafür dass man in solchen Fällen die Shared Hostings durchsucht. Ich würde sogar noch weiter gehen und die Seite ausschalten wenn der Kunde nicht reagiert.
Ich mache es aus Zeitmangel kurz: Ja, wir haben anhand des Dateinamens "gesucht" (und zwar nicht via find, sondern via locate, aber ich denke, das spielt hier keine Rolle).
Wir haben nicht mal in die Datei reingeschaut, sprich kein md5sum drüberlaufen lassen, sprich wir haben nicht selektiert, wer wirklich betroffen ist (was ja ginge, wenn wir nur die angeschrieben hätten, deren Datei eine andere Checksumme als die von Version 1.5.3 aufweist). Sprich nicht Inhalt, sondern nur "Headerdaten".
Rein formaljuristisch ist dies über "Geschäftsführung ohne Auftrag" zu sehen. Korrekt gesehen dürften wir dafür sogar Geld nehmen (ja, auch OHNE Auftrag).
Wir haben aber einen entsprechenden (gültigen, von Rechtswegen bestätigten) Passus in unseren AGB, der uns dazu ermächtigt, da es ja in beiderseitigem Interesse ist, wir die Daten sowieso haben (sprich wir machen uns damit ja nicht Daten zueigen oder erlangen Kenntnis davon, denn erledigt wird es ja automatisiert), und wir handeln im Interesse des Kunden - kostenfrei.
Wir haben nicht mal in die Datei reingeschaut, sprich kein md5sum drüberlaufen lassen, sprich wir haben nicht selektiert, wer wirklich betroffen ist (was ja ginge, wenn wir nur die angeschrieben hätten, deren Datei eine andere Checksumme als die von Version 1.5.3 aufweist). Sprich nicht Inhalt, sondern nur "Headerdaten".
Rein formaljuristisch ist dies über "Geschäftsführung ohne Auftrag" zu sehen. Korrekt gesehen dürften wir dafür sogar Geld nehmen (ja, auch OHNE Auftrag).
Wir haben aber einen entsprechenden (gültigen, von Rechtswegen bestätigten) Passus in unseren AGB, der uns dazu ermächtigt, da es ja in beiderseitigem Interesse ist, wir die Daten sowieso haben (sprich wir machen uns damit ja nicht Daten zueigen oder erlangen Kenntnis davon, denn erledigt wird es ja automatisiert), und wir handeln im Interesse des Kunden - kostenfrei.
Ich wäre froh andere Hoster würden soetwas auch machen.
MD5 wäre sowieso fast komplett unnötig gewesen, die 1.5.3 ist erst wenige Tage alt.
Ich habe letzte Woche Montag noch nen neuen S9Y Blog installiert, war auch noch die 1.5.2.
Ansonten, euer Verhalten war vollkommen richtig.
Ähnliches haben übrigens auch andere Hoster in den AGB drinn stehen.
Ich wurde mal angeschrieben dass eine meiner index.html einen iFrame mit Schadcode hatte, diese wurde von denen durch ein sauberes Backup ersetzt.
Hatte ich auch kein Problem mit.
Das ganze war übrigens anscheinend durch einen Angriff auf den Server über eine Lücke von einem PHP Script das nichtmehr ganz aktuell war.
Da sieht man wie wichtig soetwas doch ist.
MD5 wäre sowieso fast komplett unnötig gewesen, die 1.5.3 ist erst wenige Tage alt.
Ich habe letzte Woche Montag noch nen neuen S9Y Blog installiert, war auch noch die 1.5.2.
Ansonten, euer Verhalten war vollkommen richtig.
Ähnliches haben übrigens auch andere Hoster in den AGB drinn stehen.
Ich wurde mal angeschrieben dass eine meiner index.html einen iFrame mit Schadcode hatte, diese wurde von denen durch ein sauberes Backup ersetzt.
Hatte ich auch kein Problem mit.
Das ganze war übrigens anscheinend durch einen Angriff auf den Server über eine Lücke von einem PHP Script das nichtmehr ganz aktuell war.
Da sieht man wie wichtig soetwas doch ist.
und was ist mit einem
for url in alle_bei_uns_registrierten_urls
wenn wget url/bluba.php
mail "alarm alarm"
???
find ich jetzt nicht so schlimm...
for url in alle_bei_uns_registrierten_urls
wenn wget url/bluba.php
mail "alarm alarm"
???
find ich jetzt nicht so schlimm...
Ach so ein doofer mist aber auch, ich hab doch erst die Tage auf 1.5.2 upgraded GNAH.
Danke @Manuel für die erklärung:
@alle, die es „nicht so schlimm“ finden: Schon mal was von Privatsphäre und Datenschutz gehört? Nein? Euch sollte man die Computer Onlinedurchsuchen! Schließlich macht der Staat auch nur seine Arbeit, und sucht nach gefährlichen Sachen! Besser die als irgendein Cracker, oder?
Soviel Datenschutzunverständnis widert mich an!
@alle, die es „nicht so schlimm“ finden: Schon mal was von Privatsphäre und Datenschutz gehört? Nein? Euch sollte man die Computer Onlinedurchsuchen! Schließlich macht der Staat auch nur seine Arbeit, und sucht nach gefährlichen Sachen! Besser die als irgendein Cracker, oder?
Soviel Datenschutzunverständnis widert mich an!
Findest Du das, was wir "getan" haben, in Verbindung mit der Erklärung weiterhin "schlimm"?
Ein verstoß gegen den Datenschutz wird nicht plötzlich gut, weil er begründet wurde.
IPv4 vs. IPv6
Du bist hier via
Suche
Ökostrom
Kalender
Kommentare
zu Hochtourig
Sa, 26.05.2012 02:28
At present, many excellent pla
yers have already in big games
in adizero [url=http://www.newairyeezy2.com][b]kanye [...]
Sa, 26.05.2012 00:19
Naja die meisten Kunden sind h
alt keine Experten, wenn in me
inem Fenster eine Werbetafel e
röffnet werden würde, da [...]
Fr, 25.05.2012 23:17
http://blog.fefe.de/?ts=b14989
2a
Besser?
Zitat: "Micro
soft erwirkt Einfuhrstopp für
Android-Geräte von Motor [...]
Fr, 25.05.2012 19:46
Arbeit anderer 1:1 kopieren !=
dem was die Patenttrolle mome
ntan veranstalten.
Fr, 25.05.2012 18:54
Naja ne AGB ist ja auch schnel
l geschrieben, aber kaum wird
sie kopiert ist das geschrei g
roß
Do, 24.05.2012 21:20
Ich finde es nicht verwerflich
euch danach zu fragen.
Ihr h
abt halt einen super support!
Ich finde die Frage nic [...]
Do, 24.05.2012 20:37
Ich wuerde da weniger auf eine
n "Gesellen" im Browser tippen
, sondern eher auf ein gehackt
es Script auf seiner Web [...]
Do, 24.05.2012 19:14
Och,
ich empfinde das noch al
s relativ neutral. Und so frag
t er halt einfach nach bei dir
.
