Know-How

10. August 2023

Sicherheitsupdate auf Drupal

Sicherheitslücken können Angreifern Zugriff auf geschützte Bereiche und Daten einer Webseite ermöglichen. Wie schützen wir uns mit Sicherheitsupdates und was sind unsere Aufgaben, wenn eine Sicherheitslücke auftaucht?
Safety is for today
Was genau sind Sicherheitsupdates? Gibt es verschiedene Arten von Sicherheitsupdates?

Eine Sicherheitslücke kann einem Angreifer den Zugriff auf einen geschützten Bereich einer Website oder auf Daten ermöglichen. Dazu müssen viele verschiedene Bedingungen erfüllt sein, die nur mit grossem Aufwand oder durch Zufall entdeckt werden können. Wenn das Drupal-Sicherheitsteam davon erfährt, wird sofort an einer Schliessung (Sicherheitsupdate) dieser Lücke gearbeitet. Dies geschieht im Geheimen, bis das Sicherheitsupdate fertig ist. Danach wird die Öffentlichkeit informiert und das Sicherheitsupdate zur Verfügung gestellt. Ab diesem Zeitpunkt ist es zwingend notwendig, das Update sofort einzuspielen, da nun auch potentielle Angreifer von der Lücke wissen (an dieser Stelle muss erwähnt werden, dass das Drupal Security Team nicht alle Informationen veröffentlicht zum Schutz vor Angreifern. Diese können jedoch sehr schnell im Internet kursieren).

Es gibt Sicherheitsupdates, welche den Drupal Core betreffen und solche, die Contributed Modules betreffen. Ersteres betrifft immer jede Drupal Webseite (mit der oder den entsprechenden Core Versionen) und zweiteres nur solche, welche diese Module (mit entsprechender Version) verwenden.

Wieso sind Sicherheitsupdates wichtig?

Angreifer können über solche Lücken je nachdem eine Webseite lahmlegen, sensible Informationen abgreifen oder User ausspionieren. Deshalb müssen diese sofort beim Bekanntwerden geschlossen werden.

Wie oft kommen solche Sicherheitsupdates vor?

Sicherheitslücken, die eine Bedrohung für unsere Kundenprojekte darstellen und deshalb ein Sicherheitsupdate sofort ausgerollt werden muss, kommen erfahrungsgemäss 1-2 pro Jahr vor.

Wie hält sich Previon up-to-date bei Sicherheitsupdates?

Wir informieren uns durchgehend über neue mögliche Bedrohungen über verschiedene Kanäle. Dabei analysieren wir immer, ob es eine Gefahr sein könnte für unsere Kundenprojekte (wir müssen also immer den Überblick haben, welche Module wir wo im Einsatz haben).

Wie werden Sicherheitsupdates priorisiert?

Bei jeder Meldung über eine neu entdeckte Sicherheitslücke wird mit einem Code und einer Zahl angegeben, was genau betroffen ist und wie wahrscheinlich (und einfach) ein Angriff ist. So kann abgeschätzt werden, ob Handlungsbedarf besteht und wie dringend dieser ist. Drupal stellt dafür eine Risikobezeichnung zur Verfügung: https://www.drupal.org/drupal-security-team/security-risk-levels-defined

Wie wird ein Update bei Previon priorisiert?

Wir updaten die betreffenden Codestellen (Sicherheitsupdate), testen die Funktionstüchtigkeit und rollen es aus.

Wie wird der Kunde involviert?

Der Kunde wird im Falle einer Sicherheitslücke sofort informiert und sobald die Sicherheitslücke geschlossen ist. Während des Prozesses wird der Kunde informiert, wenn Schwierigkeiten auftreten.

Wie ist unser Team im Prozess involviert?

Einerseits informieren unsere Account Manager sofort alle Kunden, andererseits beginnt unser Entwickler-Team umgehend damit das genaue technische Vorgehen zu besprechen und alle Kundenprojekte in einer Kanban Übersicht aufzulisten (To do, in progess, delivered to production). Die Mitglieder des Entwickler-Teams wären natürlich für andere Arbeiten eingeplant, weshalb vieles umgeplant und intern kommuniziert werden muss. Parallel dazu beginnt das Entwickler-Team, das Sicherheitsupdate auf allen Plattformen auszurollen.