|
In den letzten Tagen häufen sich die Meldungen der Exploit Database1 über angebliche Sicherheitslücken, die keine sind. Gepostet von Mitgliedern einer algerischen Hackergruppe, so nun auch die Meldung über eine SQL Injection2 Sicherheitslücke in NinjaForge's Ninjaboard3.
Es scheint in der Tat so zu sein, dass einzelne Mitglieder dieser Hackergruppe in ihrem Drang sich zu profilieren, es einfach nicht für nötig befinden, die Quellen tatsächlich zu untersuchen und Tests durchzuführen. Wie kann es denn bitte sein, dass über angebliche SQL Injection Bugs an Parametern berichtet bzw. ein angeblicher Exploit veröffentlicht wird, der definitiv keiner ist, weil die entsprechenden Parameter in Datenbankabfragen überhaupt nicht benutzt werden? Und die Plattform unterstützt das ganze auch noch, indem den Postings der verified (bestätigt) Stempel aufgesetzt wird.
Wie Stian Didriksen4 über den entstandenen Twitterbuzz verständlicherweise etwas aufgebracht in einem NekkidNinjas Blogpost5 schreibt, war es noch dazu so, dass das angebliche Sicherheitsleck, in der Komponente com_ninjademo zu finden sei, die jedoch nicht einmal öffentlich zum Download angboten, sondern inhouse für den Aufbau von Demoseiten unserer Joomla!™ Erweiterungen verwendet wird. Weiter handele es sich in keinster Weise um eine Sicherheitslücke sondern lediglich um einen Fehler, der auftritt wenn der Link, welcher als Möchtegern-Exploit genannt wurde, mit einem anderen Wert als einer gültigen ID aufgerufen wird.
Als langjähriges Mitglied des NinjaForge Entwicklerteams, Security Consultant des Unternehmens und Entwickler des SQL Injection Scanners NinjaSecurity6, dass einen entscheidenen Beitrag geleistet hat, das Sicherheitsbewusstsein im Team massiv zu erhöhen, kann ich guten Gewissens bestätigen, dass dieses Thema in unseren Reihen eines der wichtigsten überhaupt ist.
Wie man an diesem Fall wieder einmal sehr schön sehen kann, sollte derartigen Advisories nicht blindlinks vetraut werden. Es ist absolut notwendig die Software, die in den Meldungen beschrieben wird, einer eingehenden Prüfung zu unterziehen um sicherzustellen, dass auch tatsächlich eine Gefahr für die Benutzer der Software besteht. Man darf bei der ganzen Sache nämlich nicht vergessen, dass hier nicht nur die Sicherheit der User, sondern auch Reputationen von Entwicklern, bzw. Unternehmen auf dem Spiel stehen!
In diesem Sinne ...
Links:
|
Startseite 
