Veröffentlicht am
Aus Sicherheitsgründen pausieren wir Updates und Marktplatz-Bestellungen über's Wochenende.
Wie heute bekannt wurde, gab es einen Angriff, bei dem über 5.000 Github-Repositoryies kompromittiert wurden. Ein Git-Repository ist sowas wie "App-Stores für Software-Komponenten", und Github wiederum ist die größte Plattform für Git-Repositories.
Das DRKCMS besteht aus einem TYPO3 und einer ganzen Reihe von Erweiterungen: DRK-eigene, welche von uns, und welche von externen Entwickelnden (z.B. das News-Modul). Und wenn wir ein DRKCMS installieren oder aktualisieren (oder z.B. aus dem DRKCMS-Marktplatz heraus Erweiterungen hinzufügen), dann laden wir uns alle Bestandteile in der jeweils aktuellsten/freigegebenen Version aus verschiedenen Git-Repositories erneut herunter.
Und wenn eine dieser Komponenten kompromittiert wäre, dann würden wir unbemerkt eine verseuchte Software in Ihrem DRKCMS installieren - selbst dann, wenn Sie einen ganz anderen Auftrag initiieren (z.B. eine Reparatur oder die Installation einer Erweiterung, die gar nicht betroffen ist). Und diese verseuche Software könnte dann z.B. Zugangsdaten abgreifen (und damit weiteren Schaden in Ihrem DRKCMS anrichten, z.B. Daten aus Formularen abgreifen).
Die Gefahr ist nicht groß, 5.000 Github-Repositories ist eine vergleichsweise kleine Anzahl. Und doch möchten wir uns in Ruhe einen Überblick verschaffen, dass wirklich keine für das DRKCMS verwendete Komponente betroffen ist.
Das werden wir über das Pfingstwochenende tun, und so lange sind sämtliche Wartungsfunktionen im Kundenmenü und im DRKCMS-Marktplatz pausiert, um auszuschließen, dass ein DRKCMS z.B. durch eine Marktplatz-Bestellung einen automatischen Git-Updatelauf startet. Wenn Sie etwas im Kundenmenü oder im Marktplatz veranlassen, kann es also einige Tage dauern, bis der Auftrag wirklich ausgeführt wird.
Getreu nach dem Motto: Better safe than sorry. Danke für Ihr Verständnis!