Warnungen wegen veralteter CMS

Anfang Januar wurde bereits an dieser Stelle darauf hingewiesen, daß bei verschiedenen Webangeboten der Universität veraltete und zumeist unsichere Versionen von Content-Management-Systemen im Einsatz sind und daß diese zu aktualisieren seien.

Grundsätzlich muss betont werden: Jedes komplexe System bedarf einer dauerhaften Betreuung. Content-Management-Systeme sind komplex, weil sie einerseits ein Fülle von Funktionen erfüllen müssen, andererseits sich an eine große Zahl an Bedienern wenden sollen. Je komplexer und funktionsmächtiger ein System ist, um so größer ist die Gefahr von Fehlern, die Einfluß auf die Sicherheit haben. Enthalten die System zudem Schnittstellen für Fremdsoftware (Plugins) oder bieten Programmierschnittstellen, ist zusätzlich mit der Gefahr von Sicherheitslöcher durch Dritte zu rechnen.

Insbesondere mächtige und bekannte Systeme wie Typo3, Joomla und WordPress sind aufgrund ihrer Komplexität und ihren guten Schnittstellen anfällig für Sicherheitslücken. Dementsprechend oft werden auch neue Versionen dieser Systeme herausgebracht.

Wer daher ein CMS einsetzt, muss sich diesen Problemen und Gefahren befusst sein und eine dauerhafte, fachlich kompetente Betreuung sicherstellen. Ist eine solche Betreuung nicht möglich oder überfordert den zuständigen Webbetreuer, ist ein Weiterbetrieb meines Erachtens fahrlässig.

Welche Versionen sind im Einsatz?

Im Einsatz sind unter anderem die Systeme: Typo3, Joomla und WordPress.
Von den 8 im Einsatz befindlichen Typo3-Systemen sind 5 veraltet, von den 11 Joomla-Systemen sind 6 veraltet und von den 4 WordPress-Systemen sind 3 veraltet (das WordPress-System welches aktuell ist, ist das vom RRZE betreute zentrale Blogsystem der Uni).
Die älteste Typo3-Version trägt die Versionsnummer 3.8, das älteste Joomla-System trägt die Nummer 1.0.12 .
Es existieren somit CMS, welche seit mehreren Jahren nicht aktualisiert wurden.

Welche Version von ausgewählten Systemen sind stabil?

  • Typo3: Aktuelle Stable: 4.5; Ältere Stable Generation: 4.4
  • Joomla: Aktuelle Stable: 1.6.0; Ältere Stable Generation: 1.5.22
  • WordPress: Aktuelle Stable: 3.1; Ältere Stable Generation: 3.0.5

Warnmail

Leider wurde bislang jedoch so gut wie keines der Systeme aktualisiert.
Daher wurde heute das folgende Schreiben an die Webmaster und die Verantwortlichen der jeweiligen Webauftritte gesandt:

Sehr geehrte Damen und Herren,

für die Betreuung ihres Webauftritts unter der Adresse
www.irgendwas.uni-erlangen.de
verwenden Sie die Software
AlleskönnendeSeligmachendeWollmilchsau, Version 1.2.3

Die von Ihnen verwendete Software ist jedoch in der von Ihnen verwendeten sichtbaren
Version laut den Information des Herstellers veraltet und enthält möglicherweise
bekannte Sicherheitslöcher.
Somit setzen Sie sich und anderen Gefahren (insbesondere Identitätsdiebstahl,
dem Einbruch in Computersysteme, und natürlich der Computersabotage) aus.

Wir möchten Sie daher in ihrem eigenen Interesse dazu auffordern, dafür Sorge
zu tragen, daß die von Ihnen verwendete Software auf den jeweils aktuellsten
sichersten Stand (gemäß den Empfehlungen der Herstellers) ist.

Wichtige Hinweise:
1. Ob ein Einbruch -sichtbar oder unsichtbar- bereits erfolgte, wurde
unsererseits nicht geprüft. Der illegale Missbrauch von Webseiten ist
nur in wenigen Fällen offensichtlich, da es im Sinne von
kriminellen Aktivitäten (z.B. dem Unterschieben von fehlerhaften
Informationen zur Erschleichung von Accountdaten oder der Bereitstellung
von Datensätzen wie Pornografie oder Gewaltverherrlichung) ist, unendeckt
zu bleiben.
Eine sofort sichtbare Vandalisierung des Webangebots dagegen erfolgt
eher selten. Wenn diese tatsächlich erfolgte, kann jedoch davon ausgegangen
werden, daß das Webangebot schon vorher insgeheim von Dritten auch zu anderen
Zwecken missbraucht wurde.

2. Der Betreiber eines Webangebots haftet persönlich für alle
Folgen eines erfolgreichen Einbruchs. (Die Verantwortung für Verstöße
gegen Strafgesetze trägt auch der Auftraggeber, wenn für ihn Seiten
durch andere Personen erstellt wurden, deren Inhalt er kennt.
Vgl: http://www.dfn.de/rechtimdfn/rgwb/rechtsguide/rg-kapitel3/#c11721 )
Vergangene Vorfälle an der FAU belegen dieses auch.
Die Universität wird in der Regel Kosten eines Verfahrens (z.B. Abmahngebühren)
der jeweiligen Einrichtung auferlegen, die dies aus eigenen Budget
aufwenden muß.

Mit freundlichen Grüßen,
Wolfgang Wiese