[niederrhein.pm] heise online: BSI nimmt WordPress, Typo3 & Co. unter die Security-Lupe

Torsten Raudssus torsten at raudssus.de
Fr Jun 21 05:16:06 PDT 2013


Das Problem ist nicht die CMS software, das Problem ist ein politisches. Um
es noch perverser zu machen: Das Problem ist PHP. Ich habe da schon einen
Plan, der uns ermöglicht verdammt viel von den PHP programmierern
abzukassieren und denen ein CMS zu geben was denen immernoch erlaubt PHP zu
nutzen und dies sogar in kombination mit anderen agenturen parallel (Also
stell dir vor 2 agenturen arbeiten parallel an einer PHP seite ohne sich zu
stören! BOAR! :D). Bisher hab ich dies aber als kommerzielles Produkt
geplant.... JEDEMENGE code ist schon da, bin in den letzten Zügen, komm
aber nicht weiter das ding zu vervollständigen. Prinzipiell ist der Gedanke
=> PUBLISHING.

OpenSource mäßig wird das alles bissel eng, weil konkret geht es darum die
PHP agenturen als Kunden zu kriegen und es zu schaffen abzukassieren von
ihrem bedarf an sauberer infrastruktur, aber trotzem immernoch ihnen zu
ermöglichen ihr PHP wissen anzuwenden. Wenn man denen da nen Perl
OpenSource brocken hinschmeisst, werden die nicht anbeissen, das ist
einfach so.

Die Firma InterRed macht mit dem Gedankengang gerade
Millionen...............



2013/6/21 Jens Rehsack <rehsack at googlemail.com>

> Diese Meldung aus heise online wurde Ihnen von "Jens Rehsack <
> rehsack at googlemail.com>" gesandt. Wir weisen darauf hin, dass die
> Absenderangabe nicht verifiziert ist. Sollten Sie Zweifel an der
> Authentizität des Absenders haben, ignorieren Sie diese E-Mail bitte.
> ------------------------------------------------------------------------
> Moin zusammen,
>
> also wenn wir Getty mal recht haben lassen wollen - es sollte für uns ein
> Spaziergang sein, da etwas dagegen zu stellen, das Dank Dancer(2), DBIC /
> DBI + PlaceHolder & Co. recht gut abgesichert gegen direkte Angriffe auf
> den Dienst selbst ist.
>
> Ich bin da auch gern bereit, das wir da mal sowas wie einen Hackathon zu
> machen, wenn wir uns vorher wenigstens grob überlegt haben, was wir wollen
> und brauchen.
> ------------------------------------------------------------------------
>
> 21.06.2013 07:47
>
> BSI nimmt WordPress, Typo3 & Co. unter die Security-Lupe
>
> In einer über 160 Seiten starken Studie[1] des Bundesamts für Sicherheit
> in der Informationstechnik (BSI) werden die gängigen Web-CMS-Lösungen
> Drupal, Joomla!, Plone, Typo3 und WordPress genauer unter die Security-Lupe
> genommen. Untersucht wurden unter anderem die Phasen des jeweiligen
> Lebenszyklus' der Software, vorhandene Protokollierungseinstellungen und
> der gebotene Datenschutz.
>
> Eine Auswertung bekannter Schwachstellen durch das BSI ergibt, dass
> Joomla! und Typo3 einen vergleichsweise hohen Anteil der schwerwiegenden
> Code-Execution-Lücken haben.
> Bild: BSI
>
> Eine vom Hersteller nicht gepatchte Schwachstelle, das Fehlen eines
> Krisenkommunikationsprozesses oder eines Brute-Force-Schutzes wirkt sich
> unmittelbar negativ auf die Gesamteinschätzung durch das BSI aus,
> wohingegen eine hakelige Integration in bestehende Managementsoftware nur
> zu moderater Abwertung führt. Auf einen Penetrationstest haben die
> BSI-Experten vorerst jedoch verzichtet.
>
> Vorgenommen hat sich das BSI die CMS aufgrund ihrer exponierten Stellung:
> Sie können für Angreifer ein erstes Ziel sein beim Versuch, in das interne
> Netzwerk eines Unternehmens einzudringen. Dazu kommt, dass diese Systeme
> meist ohne weitere Anpassung installiert und verwendet werden, so dass eine
> aufgetauchte Schwachstelle auf einen Schlag viele Websites gleichzeitig in
> Gefahr bringt.
>
> Eines der – wenig überraschenden – Resultate der Studie ist, dass im
> Verhältnis ungleich mehr Schwachstellen in Plug-ins gefunden werden als in
> der Basissoftware des CMS an sich. Im Fall von WordPress beispielsweise
> entfallen 20 Prozent aller Bugs auf das CMS, 80 Prozent hingegen auf
> Add-Ons. Bei Drupal ist das Verhältnis mit fünf Prozent (CMS) zu 95 Prozent
> (Erweiterungen) noch erheblich krasser.
>
> Grundsätzlich bescheinigen die Autoren der Studie den CMS ein gutes
> Sicherheitsniveau und zeigen sich zufrieden mit den sicherheitsrelevanten
> Prozessen der einzelnen Anbieter. Gleichzeitig empfehlen sie jedoch, ein
> CMS keinesfalls in der Standardkonfiguration zu betreiben, sondern es nach
> der Installation hinsichtlich der für die Sicherheit relevanten Optionen
> anzupassen. Dazu gehören beispielsweise der Einsatz von
> nicht-standardisierten Admin-Accounts, eines automatisierten
> Update-Managements sowie das Verwenden von HTTPS für den Betrieb des Front-
> und auch Backends. (Uli Ries)
>  /
>
>
> (rei[2])
>
>
>
>
>
>
>
> URL dieses Artikels:
>
>
> http://www.heise.de/newsticker/meldung/BSI-nimmt-WordPress-Typo3-Co-unter-die-Security-Lupe-1894120.html
>
>
>
> Links in diesem Artikel:
>
>   [1] https://www.bsi.bund.de/DE/Publikationen/Studien/CMS/Studie_CMS.html
>   [2] mailto:rei at heise.de
>
> ------------------------------------------------------------------------
> Copyright Heise Zeitschriften Verlag
>
> _______________________________________________
> Niederrhein-pm mailing list
> Niederrhein-pm at pm.org
> http://mail.pm.org/mailman/listinfo/niederrhein-pm
-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <http://mail.pm.org/pipermail/niederrhein-pm/attachments/20130621/3f85cca7/attachment.html>


Mehr Informationen über die Mailingliste Niederrhein-pm