Page 1 of 1
OPTIONSBLEED
Posted: Mon 18. Sep 2017, 16:29
by select name from me;
Hallo zusammen,
da hier einige Keyhelp User Reseller sind, ist dieser Artikel vielleicht für euch interessant:
https://www.golem.de/news/optionsbleed- ... 30105.html
Re: OPTIONSBLEED
Posted: Mon 18. Sep 2017, 20:32
by Jolinar
Wobei man hier entschärfend dazu erwähnen sollte, daß schon entsprechende Patches im Umlauf sind bzw. in den nächsten Stunden zur Verfügung stehen dürften.
Letztlich wird das aktuelle Risiko dadurch bestimmt, wie zuverlässig die Updatemechanismen auf den betroffenen Servern etabliert wurden.
Re: OPTIONSBLEED
Posted: Mon 18. Sep 2017, 22:36
by Martin
Hallo,
ich würde mich hier Jolinar anschließen wollen. Bei KeyHelp Systemen in der Standardkonfiguration würde hier zumindest jede Nacht nach entsprechenden Updates gesucht und diese dann auch eingestellt.
Sofern nicht mutwillig konfiguriert ist mir eine derartige Fehlkonfiguration der Limit Direktive bisher auch noch nie untergekommen.
Re: OPTIONSBLEED
Posted: Tue 19. Sep 2017, 09:58
by select name from me;
Ja, ihr habt sicher recht.
Martin wrote: ↑Mon 18. Sep 2017, 22:36
Sofern nicht mutwillig konfiguriert ist mir eine derartige Fehlkonfiguration der Limit Direktive bisher auch noch nie untergekommen.
Das ist das potentielle Problem für die Reseller. Soweit ich verstanden habe, kann jeder User, der eine .htaccess anlegen kann, dieses Problem für den ganzen Server verursachen. Mutwillig oder unabsichtlich.
Deshalb poste ich das hier. Es soll ja Leute geben, die Updates nicht automatisch installieren lassen.
Re: OPTIONSBLEED
Posted: Tue 19. Sep 2017, 12:22
by Jolinar
select name from me; wrote: ↑Tue 19. Sep 2017, 09:58Es soll ja Leute geben, die Updates nicht automatisch installieren lassen.
Oh ja, leider immer noch viel zu viele
Und da man im KH-Panel die Paket-Updates deaktivieren kann, wären auch KH-Instanzen in einer solchen Situation angreifbar.
Deshalb würde ich gerne die Idee mit den Systemmails bei erfolgten Panel-Updates aufgreifen und eine Erweiterung anregen...Wäre es vielleicht auch hier sinnvoll, eine Systemmail zu generieren, wenn die Paket-Updates im Panel deaktiviert sind und neue Paket-Updates verfügbar sind?
So hätte der Admin die Info, daß Handlungsbedarf besteht und kann dann entsprechend tätig werden.
Achja, das würde in meinen Augen dann analog auch für Panel-Updates Sinn machen, wenn diese Updatefunktion ebenfalls deaktiviert wäre und Panel-Updates verfügbar sind.
Re: OPTIONSBLEED
Posted: Tue 19. Sep 2017, 14:33
by Martin
Hallo,
für eine Infomail über Debian/Ubuntu Updates würde ich hier "apticron" empfehlen, was genau diesen Zweck hat. Dies in KeyHelp zu integrieren halte ich aktuell nicht für unbedingt notwendig.
Re: OPTIONSBLEED
Posted: Tue 19. Sep 2017, 14:59
by Jolinar
Martin wrote: ↑Tue 19. Sep 2017, 14:33für eine Infomail über Debian/Ubuntu Updates würde ich hier "
apticron" empfehlen, was genau diesen Zweck hat. Dies in KeyHelp zu integrieren halte ich aktuell nicht für unbedingt notwendig.
Es ging mir auch nicht um die unbedingte Notwendigkeit, sondern eher um die optionale Möglichkeit, den Admin auf notwendige Arbeiten hinzuweisen.
Viele Admins, die nicht so tief in der Materie stecken, verwenden auch gerade deswegen Adminpanels, weil sie davon ausgehen, daß das Panel eine Art "Rundum-Sorglos-Paket" ist.
Meine Intention hinter der Idee war eigentlich ein gewisser Schutzmechanismus.
Ein Beispiel: Der Admin liest irgendwo, daß man Paket-Updates besser manuell anstoßen sollte, damit man mitbekommt, wenn dabei Fehler auftreten. Also deaktiviert er die Updatefunktion im Panel. Das funktioniert theoretisch auch, solange man nur regelmäßig genug manuelle Updates macht oder (wie du empfiehlst) Tools wie
apticron nutzt.
Oft genug aber schleicht sich irgendwann dann doch Nachlässigkeit ein und dann ist das Geschrei groß, wenn aufgrund fehlender Updates eine Sicherheitslücke ausgenutzt wurde.
P.S.:
Ich verwende übrigens
apticron auf all meinen Kisten und möchte dieses Tool auch nicht missen. Zusätzlich sind noch die wichtigsten Mailinglisten abonniert, so daß ich immer auf dem Laufenden bin, was potentielle Lücken in der Software angeht.
Re: OPTIONSBLEED
Posted: Tue 19. Sep 2017, 15:16
by Martin
Hallo,
hm, ja ich verstehe den Gedankengang. Aber ich sehe eher, dass ein "Admin" bei entsprechend niedlichem Kenntnisstand dann die Standardeinstellungen belässt (automatische Updates an). Oder, wenn er diese manuell installieren will und die automatischen Updates abschaltet (was ja eine entsprechende Intention benötigt) dann auch soweit denken sollte hier regelmäßig selbst zu prüfen oder Tools wie apticron zu nutzen.
Re: OPTIONSBLEED
Posted: Wed 20. Sep 2017, 10:07
by Reseller4711
Martin wrote: ↑Tue 19. Sep 2017, 15:16
... ein "Admin" bei entsprechend niedlichem Kenntnisstand ....
Ich bin so einer. Gerade deshalb schätze und hoffe ich, dass Keyhelp Adminsoftware mit all den Voreinstellungen, all dieses für mich macht. Und als Keyweb Kunde schätze ich den Managed Service, den ich lieber einmal mehr frage, bevor ich was verbocke
Re: OPTIONSBLEED
Posted: Wed 20. Sep 2017, 14:07
by Martin
Hallo,
ich bezog mich ja auf den Umstand, wenn jemand dann die Standardeinstellungen selbst ändert (z.B. automatische Updates aus). Dieser sollte dann schon grundlegend wissen was er tut und dann ggf. selbst mit "apticron" für weitere Benachrichtigung sorgen.
Grundlegend kann man apticron natürlich auch einmal mit in den Standardumfang aufnehmen, für besonders dringend halte ich das aber persönlich nicht.