[niederrhein.pm] heise online: BSI nimmt WordPress, Typo3 & Co. unter die Security-Lupe

Jens Rehsack rehsack at googlemail.com
Do Jun 20 23:02:56 PDT 2013


Diese Meldung aus heise online wurde Ihnen von "Jens Rehsack <rehsack at googlemail.com>" gesandt. Wir weisen darauf hin, dass die Absenderangabe nicht verifiziert ist. Sollten Sie Zweifel an der Authentizität des Absenders haben, ignorieren Sie diese E-Mail bitte.
------------------------------------------------------------------------
Moin zusammen,

also wenn wir Getty mal recht haben lassen wollen - es sollte für uns ein Spaziergang sein, da etwas dagegen zu stellen, das Dank Dancer(2), DBIC / DBI + PlaceHolder & Co. recht gut abgesichert gegen direkte Angriffe auf den Dienst selbst ist.

Ich bin da auch gern bereit, das wir da mal sowas wie einen Hackathon zu machen, wenn wir uns vorher wenigstens grob überlegt haben, was wir wollen und brauchen.
------------------------------------------------------------------------

21.06.2013 07:47

BSI nimmt WordPress, Typo3 & Co. unter die Security-Lupe

In einer über 160 Seiten starken Studie[1] des Bundesamts für Sicherheit in der Informationstechnik (BSI) werden die gängigen Web-CMS-Lösungen Drupal, Joomla!, Plone, Typo3 und WordPress genauer unter die Security-Lupe genommen. Untersucht wurden unter anderem die Phasen des jeweiligen Lebenszyklus' der Software, vorhandene Protokollierungseinstellungen und der gebotene Datenschutz.

Eine Auswertung bekannter Schwachstellen durch das BSI ergibt, dass Joomla! und Typo3 einen vergleichsweise hohen Anteil der schwerwiegenden Code-Execution-Lücken haben.
Bild: BSI

Eine vom Hersteller nicht gepatchte Schwachstelle, das Fehlen eines Krisenkommunikationsprozesses oder eines Brute-Force-Schutzes wirkt sich unmittelbar negativ auf die Gesamteinschätzung durch das BSI aus, wohingegen eine hakelige Integration in bestehende Managementsoftware nur zu moderater Abwertung führt. Auf einen Penetrationstest haben die BSI-Experten vorerst jedoch verzichtet.

Vorgenommen hat sich das BSI die CMS aufgrund ihrer exponierten Stellung: Sie können für Angreifer ein erstes Ziel sein beim Versuch, in das interne Netzwerk eines Unternehmens einzudringen. Dazu kommt, dass diese Systeme meist ohne weitere Anpassung installiert und verwendet werden, so dass eine aufgetauchte Schwachstelle auf einen Schlag viele Websites gleichzeitig in Gefahr bringt.

Eines der – wenig überraschenden – Resultate der Studie ist, dass im Verhältnis ungleich mehr Schwachstellen in Plug-ins gefunden werden als in der Basissoftware des CMS an sich. Im Fall von WordPress beispielsweise entfallen 20 Prozent aller Bugs auf das CMS, 80 Prozent hingegen auf Add-Ons. Bei Drupal ist das Verhältnis mit fünf Prozent (CMS) zu 95 Prozent (Erweiterungen) noch erheblich krasser.

Grundsätzlich bescheinigen die Autoren der Studie den CMS ein gutes Sicherheitsniveau und zeigen sich zufrieden mit den sicherheitsrelevanten Prozessen der einzelnen Anbieter. Gleichzeitig empfehlen sie jedoch, ein CMS keinesfalls in der Standardkonfiguration zu betreiben, sondern es nach der Installation hinsichtlich der für die Sicherheit relevanten Optionen anzupassen. Dazu gehören beispielsweise der Einsatz von nicht-standardisierten Admin-Accounts, eines automatisierten Update-Managements sowie das Verwenden von HTTPS für den Betrieb des Front- und auch Backends. (Uli Ries)
 / 


(rei[2])







URL dieses Artikels:

http://www.heise.de/newsticker/meldung/BSI-nimmt-WordPress-Typo3-Co-unter-die-Security-Lupe-1894120.html



Links in diesem Artikel:

  [1] https://www.bsi.bund.de/DE/Publikationen/Studien/CMS/Studie_CMS.html
  [2] mailto:rei at heise.de

------------------------------------------------------------------------
Copyright Heise Zeitschriften Verlag



Mehr Informationen über die Mailingliste Niederrhein-pm