Wo Poste ich Sicherheitslücke in Extension?

**typonewbe** · 14.01.2009, 10:35

Hallo,

wir haben in einer Extension eine Sicherheitslücke entdeckt und würden das hier gerne Melden ist das hier ok?

Wir haben für uns diese Extension auch gefixt falls jemand interesse daran hat würde ich das dann auch gerne hier Posten.

Grüße typonewbe

**Cybersmog** · 14.01.2009, 10:38

Nein, bitte nicht hier posten sondern direkt an den Extension Autor und das TYPO3 Security Team melden.

Gruß
Peter

**just2b** · 14.01.2009, 11:07

und auch nicht weitersagen, nicht auf die eigene website stellen und sonst wo posten!

georg

**Phlogiston** · 14.01.2009, 11:11

Zitat von just2b

und auch nicht weitersagen, nicht auf die eigene website stellen und sonst wo posten!

georg

Ausser natürlich, das Sicherheitsteam würde nicht reagieren in einer vernünftigen Zeit. Denn dann wäre diese Sicherheitspolitik ziemlich strub. (Meine Meinung)

**just2b** · 14.01.2009, 11:28

Zitat von Phlogiston

Ausser natürlich, das Sicherheitsteam würde nicht reagieren in einer vernünftigen Zeit. Denn dann wäre diese Sicherheitspolitik ziemlich strub. (Meine Meinung)

damit dann ein angreifer schneller zugriff auf die lücke hat als wer, der die extension einsetzt.. naja weiß nicht...

**Cybersmog** · 14.01.2009, 11:51

Ich denke, dass man dem Security Team nicht gerade Untätigkeit vorwerfen kann.

Gruß
Peter

**Phlogiston** · 14.01.2009, 13:19

Zitat von just2b

damit dann ein angreifer schneller zugriff auf die lücke hat als wer, der die extension einsetzt.. naja weiß nicht...

gegenseite: Damit alle, die die Extension einsezten nichts davon wissen und daher angegriffen werden können.

Na ja die Zeitspanne sollte halt einfach sehr klein sein. Üblich ist glaube ich ein bis wenige Tage bei anderen Projekten...

**Phlogiston** · 14.01.2009, 13:20

Zitat von Cybersmog

Ich denke, dass man dem Security Team nicht gerade Untätigkeit vorwerfen kann.

Gruß
Peter

Na ja, ich hatte mal was eingesendet und bis heute nichts davon gehört. Hängt aber vielleicht damit zusammen, dass es im Rahmen dieser Suchaktion war.

**just2b** · 14.01.2009, 13:25

Zitat von Phlogiston

Na ja, ich hatte mal was eingesendet und bis heute nichts davon gehört. Hängt aber vielleicht damit zusammen, dass es im Rahmen dieser Suchaktion war.

dann nachhaken. die machen das auch in ihrer unbezahlten freizeit und gerade die suchaktion hat ihnen einiges an arbeit geschaffen :(

**typonewbe** · 14.01.2009, 15:06

Hallo Typofreunde,

na ein Glück das ich vorher gefragt habe wollte es eigentlich so posten.

Da mein Englisch nicht gerade das beste ist werd ich wohl bissl brauchen um das Problem zu schildern und dem Security Team zukommen lassen.

Danke für die Infos.

Grüße typonewbe