28. April 2011

Security Workflow jetzt mit Drohungen

in TYPO3

Als allererstes möchte ich vorausschicken, dass das TYPO3 Security Team im großen und ganzen einen super Job macht und das wir alle von dieser unsichtbaren Arbeit profitieren. Nun hat aber die letzte Mail das Fass zum Überlaufen gebracht. Ich möchte das Thema nach reichlicher Überlegung offenlegen und freue mich über das eine oder andere Feedback von euch.

Ich habe in der Vergangenheit einige Extensions für die Community erstellt und diese kostenlos zur Verfügung gestellt. Die Erweiterung powermail erfreut sich nach wie vor großer Beliebtheit und auch wenn man nach einiger Zeit seinen eigenen Code nicht mehr sehen kann, war ich doch ein wenig stolz dass sich so viele Anwender gefunden haben.

Blick in die Vergangenheit
Mit der Version 1.5.4 hatte sich seiner Zeit eine kritische Sicherheitslücke eingeschlichen, die von einem User gefunden und dem Security Team gemeldet wurde. Einige Wochen darauf bekommt der Extension Entwickler eine Mail: Der Security Workflow schreibt vor, dass man, bis man einen finalen Review vom Sec Team bekommen hat, keine weiteren Versionen der betroffenen Extension veröffentlichen soll. An sich ein gutes Vorgehen um die Qualität des Produktes zu sichern und zu verbessern. Damals warteten wir 7 Monate (!) bis wir ein finales Ergebnis bekommen haben. Das ist eine lange Zeit, in der die komplette Weiterentwicklung lahm liegt. Viele Anwender haben uns immer wieder gefragt, warum wir nicht wenigstens die offensichtlichsten Bugs fixen könnten, jedoch mussten wir ausweichend antworten, da der Security Workflow desweiteren vorschreibt, man solle Stillschweigen über das Problem bewahren. Warum es zu der Verzögerung kam, kann ich nur vermuten – sicherlich haben die Jungs alle Hände voll zu tun und je größer eine Erweiterung ist, desto aufwändiger wird ein kompletter Check.

Blick auf das aktuelle Problem
Andy Grunwald, einer der drei Hauptentwickler von powermail, hat vor kurzem ein eher kleines Problem mit dem neuen Backendmodul entdeckt, dass wir zusammen schnell geschlossen haben. Der Community stand innerhalb weniger Tage eine neue Version zur Verfügung die auch noch zusätzliche Bugs gefixt hat. Weil wir jedoch die älteren Versionen vom künftigen Download aus dem TER ausschließen wollten, hat sich Andy Mitte März wie verlangt beim Security Team gemeldet und auf das Problem hingewiesen.

Heute habe ich eine E-Mail von Marcus Krause erhalten, in der mir unterstellt wird, ich hätte das Problem vertuschen wollen sowie der Androhung der Community zu raten Abstand von powermail zu nehmen:

Dear Alexander Kellner,

this e-mail is sent to you on behalf of the TYPO3 Security Team.
we have been informed that you have fixed two security issues 
in extension powermail with version 1.6.3 released on March 21.
This happened without informing our team beforehand. 
With this behaviour you're putting users of your extension at risk 
to get a compromised installation.
You're regularily reporting vulnerabilities in extensions. 
Therefore I assume you are aware of impacts of vulnerabilities and 
their exploitation.
If this happens again, we might publish a warning recommending 
users to not use powermail any longer! This is obviously something 
we'd like to avoid.
Not following a security workflow (like publishing secret security 
fixes) is worse than some security bulletins from time to time from 
the users' point of view.
Besides this, it seems appropriate to review code contributed from 
powermail developers before being bundled in a new extension version.
We will publish a security bulletin on these fixed vulnerabilities.

We hereby ask you to comment on this mail!

Regards,
Marcus Krause
Member of the TYPO3 Security Team

Dieses Vorgehen finde ich ziemlich krass. Was heißt das für andere Entwickler wenn Sie ein Problem in der Vergangenheit gefixt haben? Sie dürfen dem Security Team nicht bescheid geben, weil sie sonst Angst haben müssen, dass Ihre Erweiterung geächtet wird? Erreicht man damit nicht das genaue Gegenteil? Warum sollte man sich nun überhaupt noch melden?

Ich habe wirklich sehr viel Zeit und Herz in die Entwicklung meiner Erweiterungen gesteckt. Sollte es zu der Androhung aus der Mail kommen, werde ich meine Erweiterungen zurückziehen, auch wenn ich das vermeiden will.

Liege ich völlig falsch? Freue mich auf Feedback hierzu!

Gruß, Alex

13 Reaktionen zu “Security Workflow jetzt mit Drohungen”

Kommentare abonnieren (RSS) oder TrackBack URL

Ich kann dein Herzblut verstehen, aber ich will dir auch sagen „Mach mal kein Fass auf.“
Setzt euch 20 Minuten per Skype zusammen, räumt die Missverständnisse aus und danach wird die Geschichte ganz anders aussehen.

Sebastian Michaelsen am 28. April 2011 um 10:31

Ich kann den Frust von Alex durchaus verstehen. Da Alex dem Security Team durch die von ihm berichteten Sicherheitslücken ja durchaus bekannt war wundert mich aber, warum da keiner mal zum Telefonhörer greift und versucht, das ganze in einem persönlichen Gespräch zu klären.

Peter Kraume am 28. April 2011 um 10:42

Ich denke beide Vorgehen sind verständlich. Deine Alex bw. eure Arbeit an powermail ist auf jedenfall mal sehr lobenswert, auch die Tatsache, dass ihr euch ständig um die Weiterentwicklung und Sicherheitslöcher kümmert. Und von Seiten des Security Team gibt es sicher Vorgehensweisen die deren Mail rechtfertigen. Insofern: gebe ich Sebastian Recht, setzt euch zusammen und das Problem ist schnell aus der Welt.

Und danke für eine super Extension.

dirk d. am 28. April 2011 um 10:47

Mal abgesehen davon, was von der Abmahnsituation zu halten ist, finde ich die Vorschrift des Security Workflow, ohne Fristangabe bis zu einem finalen Ergebnis warten zu müssen, unhaltbar. Es handelt sich bei Sicherheitsproblemen offensichtlich um zeitkritische Probleme und es kann daher nur im Interesse aller liegen, dass diese so schnell wie möglich beseitigt werden.

Daher sollte in den Workflow eine Wartefrist – sagen wir 1 oder 2 Wochen – sowie ein Anhörungsprozess eingebaut werden, bei dem der Programmierer der Extension zu dem Problem Stellung nehmen kann und gleichzeitig verbesserten Code zur nachfolgenden Freigabe mitliefern kann.

Jorgo am 28. April 2011 um 11:18

Ich kann mich meinem Vorredner nur anschließen. Dass eine gewisse Struktur eingehalten werden muss, steht außer Frage, aber TYPO3 lebt nun einmal durch die Extensions der Community. Und wenn man die Sicherheit der Extensions und die Motivation der Entwickler an zweite und dritte Stelle stellt, dafür aber seinen Verwaltungsapparat an oberste, spricht das meines Errachtens nicht für das Motto „inspiring people to share“…
Gerade, weil durch dein (Alex) Handeln keiner einen Nachteil hat.
Gruß Björn

Björn am 28. April 2011 um 11:42

Ich hatte erwartet, dass der Kommentar von Alexander zu der von mir verfassten Mail von ebenso per Mail erfolgt. Aber nun gut, ich will nicht kleinlich sein.

Die vom TYPO3 Security Team gewünschten Zeithorizonte sind in der TYPO3 Extension Security Policy dargelegt.
http://typo3.org/teams/security/extension-security-policy/

Sicherlich gab es gegen die gewünschten Zeiträume verstoße seitens des Security Team als von Extension Maintainern. Aber wir sind nun mal Menschen. Seitens des Teams wird auch priorisiert; Schwachstellen in TYPO3 Core erhalten nun mal mehr Aufmerksamkeit als solche in Extensions. Außerdem kann niemand mit der Mitarbeit im Security Team seinen Lebensunterhalt bestreiten.

In dem o.g. Fall war mir nicht klar, dass der initiale Report (er kam nicht von Alexander) von einem Entwickler aus dem Powermail-Team kam. Ich nahm also an, dass das Security Team nur durch Zufall („einer Person fiel die Änderung auf“) von dem Security Fix erfuhr.

Das ändert aber auch nichts daran, dass wir erst nach Veröffentlichung der neuen Extension-Version incl. Security Fix vom Powermail-Team informiert wurden.

Dies sollte aber nicht passieren. Wir könnten ja durchaus Anpassungen einfordern, aber der Security Fix ist bereits veröffentlicht worden, die Schwachstelle ableitbar und ein Exploit erstellbar.
Des Weiteren veröffentlichen wir bei derartig weit verbreiteten Erweiterungen ein Security Bulletin *zeitgleich* mit der neuen Extension Version.
Auch dies ist nicht möglich, wenn wir erst im Nachhinein informiert werden.

Wenn die Extension Security Policy mehrfach nicht eingehalten worden ist, Benutzer der Erweiterung dadurch der Gefahr einer Kompromittierung Ihrer Installation ausgesetzt werden bleibt uns nichts anderes übrig, als ebendiese Benutzer vor dem Einsatz der Erweiterung zu warnen.

Marcus Krause am 28. April 2011 um 11:43

Unabhängig von Fristen und eventuell im Mail vergriffenem Ton ist die Forderung nach „erst berichten, dann fixen“ ja korrekt.
Und es ist ja wie beschreiben i.d.R. so „Des Weiteren veröffentlichen wir bei derartig weit verbreiteten Erweiterungen ein Security Bulletin *zeitgleich* mit der neuen Extension Version.“

Aber es kann ja auch sein, dass das ganze nicht trivial zu lösen ist, oder bei den Entwicklern plötzlich mal der Truck-Faktor seine Wirkung zeigt (Gott bewahre).

Als „Herzblut-Entwickler“ muss ich sagen finde ich die Forderung „erst berichten, dann fixen“ absolut löblich. Das versucht wird die durchzusetzen sinnvoll (für _alle_ Beteiligten). Das dabei mal Mißverständnisse auftreten können (Revierkämpfe vs. Darstellung der Notwendigkeit; Drohungen vs. in bestimmten Fällen sinnvolle Konsequenzen) ist ja schon klargestellt worden.

Gerade als Herzblut-Entwickler stehe ich selbst immer vor dem Problem nicht zu lesen was die Leute schreiben, sondern nur die Beweggründe zu betrachten. Das ist die einzige Möglichkeit (sich einzureden? und) zu sehen das am Ende doch alle nur das Beste wollen.

SomeBody am 28. April 2011 um 11:55

Eine seltsame Politik, lieber eine verbreitete Extension mit Sicherheitsloch über sieben Monate im Netz stehen zu haben, statt sie in gefixter (aber vielelicht noch nicht 100% vom Security Team gecheckter) Version unters Volk bringen zu lassen.

Ich bin und bleib ein Anhänger von powermail – ungeachtet, ob sie vom Security Team geächtet wird oder nicht.

1000 Dank an Alex, Andy und das Powermail-Team!

Julian am 28. April 2011 um 12:02

Ich kann beide Seiten verstehen. Wie von anderen schon geschrieben, wäre ein Anruf oder eine E-Mail sicherlich der bessere Weg gewesen um sich in dieser Angelegenheit zu einigen. Vielleicht wäre dieses auch schon im Vorfelde möglich gewesen, durch eine Rückfrage beim Security Team über den Status. Um die Emmotionen nun aber nicht aufkochen zu lasse, sollte man sich darauf einigen, dass es sich um eine Kommunikationsproblem gehandelt hat und es dabei beruhen lassen.

Viel wichtiger finde ich, dass nun darüber informiert wird, dass es eine Sicherheitslücke gibt (bzw. gab) und mit welcher Version von Powermail diese Lücke zu schließen ist. Wenn die Lücke kritisch ist und sich leicht exploiten lässt, dann ist es wohl nur eine Frage der Zeit, bis sie auch ausgenutzt wird. Deshalb sollte nun auch schnell gehandelt werden, damit die TYPO3 Admins die Extension schnell aktualisieren können.

Torben Hansen am 28. April 2011 um 12:13

Ich finde das übliche Verfahren des Security Teams eigentlich super klasse. Wenn das mit den 7 Monaten stimmt, ist das aber auch heftig.
Vielleicht kann man zukünftig festlegen: Falls das Security Team das Review nicht in einem Monat schafft, dann wird der Fix eben ohne Review freigegeben und so kommuniziert?

Erdal am 28. April 2011 um 12:13

Helmut vom Sec-Team hat mich gerade angerufen und wir haben uns lange und nett unterhalten. Wir haben uns darauf geeinigt, dass der Ton nicht ganz korrekt war, aber das Vorgehen des Sec-Teams grundsätzlich richtig ist.
In einem Forum könnte man den Beitrag jetzt wohl schließen 😉
Danke für das Telefonat Helmut – verbal lässt sich doch einiges schneller klären.

Alex Kellner am 28. April 2011 um 12:18
Trackbacks & Pingbacks

[…] schon seit einem Posting hier bekannt, gab es in der Extension powermail Sicherheitslücken, die mit der Version 1.6.3 behoben […]

Pingback von Security Bulletin TYPO3-SA-2011-004: Lücken in powermail | TYPO3 Blogger am 11. Mai 2011 um 09:04

[…] vom Entwickler selbst gefunden und gemeldet. Daraufhin gab es ein wohl ein bisschen Stress, was man hier nachlesen […]

Pingback von Typo3: Sicherheitslücke bei Extension powermail | Akif Sahin am 11. Mai 2011 um 10:13

Kategorien

Archiv