Zurück

@heisec
Dass Sicherheitslücken & Probleme offen behandelt werden, begrüße ich sehr. Trotzdem habe ich mit dem Artikel mehrere Probleme, bei der ich vom Autor oder Lektor fehlende Sorgfalt und Einordnung sehe:

1) Alle Lücken sind - sofern die WebUI nicht nach extern geöffnet ist und das ist sie per default nicht und sollte sie nie - lokale Exploits.
2) eine "persönliche" Redaktionseinstufung von 9.6 kann man vergeben, dann sollte man aber auch begründen, warum das so hochkritisch sein soll.

@heisec
3) "schätzen" in dem Kontext ist schon sehr dubios. Zumal wir immer noch von einem Zugriff sprechen, der zu >90% nur von intern erfolgen kann. Natürlich ist es ein großes Problem dass Unittest Files hier mit ins Release gekommen waren. Trotzdem ist das Ausnutzen in einem normalen Umfeld nur sehr schwierig bis kaum möglich, hier fehlt auch definitiv die Einordnung neben der "gefühlten 9.6 Panikmache".

4) Die restlichen 3 Lücken sind zum Großteil Key-to-the-Castle Probleme? Sprich:

@heisec
wenn ich eh bereits Admin bin oder sein muss um sie zu exploiten, wo kommt dann die "kritische Einordnung" her? Natürlich - XSS Exploits sind unschön. Trotzdem reden wir hier immer noch von den Punkten:
- Muss Admin sein
- Muss überhaupt Zugriff auf die UI haben
- Muss eingeloggt sein

damit überhaupt eine exploitbare Gefahr besteht. Auch hier fehlt wieder absolut die Einordnung, dass es zwar gefährlich ist, aber in welchem Rahmen - kein Satz.

@heisec
5) Dann der beste Part, wegen dem ich hauptsächlich Sorgfältigkeits und Lektorprobleme sehe:

"Alle vier Sicherheitslücken sind in den pfSense-Plus-Versionen vor 23.09.1 enthalten und mit pfSense Plus 24.03 behoben. Nutzer der "Community Edition" sind betroffen, sofern sie Version 2.7.2 oder früher einsetzen – ein Upgrade auf 2.8.0 behebt die Bugs."

Kein Wort vom sehr wichtigen Paket "System Patches", das schon seit geraumer Zeit als "should/must install" behandelt wird und mit welchem

@heisec
die Bugs auch in 23.09 oder 2.7.2 behoben werden können, da mit System Patches Bugfixes wie diese ausgerollt werden können ohne ein neues Release bauen zu müssen.

Davon lese ich aber kein Wort. Nichts.

Statt dessen: "Ein Upgrade auf 2.8 behebt die Bugs". Bitte wie? Zur Einordnung: Es gibt KEINE VERSION CE 2.8. Diese ist in der aktiven Entwicklung. Es gibt kein Release, keinen Release Candidate. Es gibt kein Update auf einen Dev-2.8-Branch. Diese Info ist also völlig irreführend!

@heisec
Eine einzige Suche nach letztem Stable oder den Release Notes von 2.8 hätte geholfen um nachzusehen, dass es Stand heute keine Version 2.8 gibt auf die man updaten könnte. Statt dessen wird damit Panik verbreitet, weil alle Leser auf CE 2.7.2 jetzt herumlaufen und denken sie sind angreifbar. Da auch keine Einordnung der Lücken stattfindet, ist das alles sinnlos und endet in Anfeindungen an Netgate oder das Projekt, dass man die Leute ohne Patches hängen lassen würde.
Vor allem aber:

@heisec
der letzte Absatz des Textes setzt die XSS Bugs dann in Verhältnis mit Cisco BACKDOORs, Palo Alto oder Fortinet Exploits, die teils remote code execution oder im Falle von Cisco zumindest Uploads und ggf. sogar eine Backdoor ins System betrafen.

Statt Einordnung wird also mit Horrormeldungen anderer Hersteller nochmals unterstrichen wie dramatisch alles ist, aber keine sinnvolle Aussage getroffen, wer wie womit und warum eigentlich betroffen sein könnte und was die Konsequenzen sind.

@heisec

Das halte ich persönlich leider nicht für verantwortungsvollen Umgang oder sinnvollen Bericht mit oder über Sicherheitsvorfälle. Wir brauchen kein Drama, keine Welle an Bestürzung und kein "sent prayers", sondern ordentliche, nüchterne und neutrale Betrachtung der Tatsachen. Wenn trotz einer 8.8 vom BSI man erkennt, dass ein Problem nur hausintern oder ggf. sogar nur durch einen Admin selbst besteht, hat das ein anderes Gewicht als "jemand kann Daten auf die Firewall laden & ausführen"