Dipl.-Inform. Carsten Eilers

Damit Patches oder Updates installiert werden, müssen einige Bedingungen erfüllt sein: Der Admin muss wissen, dass er was installieren muss. Und dazu muss er zum einen wissen, dass ein betroffenes Programm auf seinem System installiert ist, und zum anderen vom Patch erfahren. Was beides nicht unbedingt immer gegeben ist.

Und selbst wenn alle diese Bedingungen erfüllt sind muss der Admin die Patches oder Updates auch noch installieren wollen. Was auch nicht unbedingt selbstverständlich ist. Sie wissen ja: "Never touch a running System!1!!elf"

Ich habe gar kein TimThumb... oder?

Fangen wir mit TimThumb an. Vorab aber zwei wichtige Feststellungen:

1. Das Folgende richtet sich ausdrücklich nicht an die WordPress-Nutzer, die ihre Installation aktuell und sauber halten.
2. TimThumb ist eigentlich nur ein Beispiel, man könnte auch sagen der aktuellen Sündenbock. Dann das Folgende gilt im Grunde für alle PlugIns etc., die irgendwann mitinstalliert und danach vergessen wurden

Brutal ausgedrückt ist das Ding wie eine Seuche. Man braucht es nicht mehr und es wird seit einiger Zeit nicht mehr unterstützt - was beides auch vom Autor betont wird, der von der Verwendung von TimThumb ausdrücklich abrät - und trotzdem verseucht es noch etliche WordPress-Installationen.

Es ist nicht das erst Mal, dass TimThumb negativ auffällt, aber man wird es einfach nicht los. Und meist wird es noch nicht mal aktualisiert. Und warum? Weil viele WordPress-Nutzer gar nicht wissen, dass es bei ihnen installiert ist. Weil irgend ein Theme oder PlugIn TimThumb mit installiert hat und der Nutzer das gar nicht mitbekommen hat. Oder vielleicht hat er es am Rande registriert, dann aber vergessen. Vielleicht, weil das Theme oder PlugIn gar nicht mehr verwendet wird. Aber TimThumb bleibt weiter installiert und damit ein potentielles Einfallstor.

In diesem Fall ist die Gefahr eines Angriffs zum Glück relativ gering. Die Schwachstelle kann nur ausgenutzt werden, wenn WebShots vom Benutzer eingeschaltet wurde (im Default-Fall ist es ausgeschaltet) und zwei benötigte Server-seitige Erweiterungen vorhanden sind. Was natürlich nicht ausschließt, dass es Themes oder PlugIns gibt, die TimThumb enthalten und WebShots verwenden und deshalb auch aktivieren und die benötigen Erweiterungen installieren (lassen). Aber das halte ich für sehr unwahrscheinlich. Aber falls es so etwas gibt, wissen die betroffenen Benutzer ja hoffentlich noch, dass sie so etwas doch recht Exotisches mal installiert haben und halten es dann auch aktuell.

Fazit: Falls Sie WordPress selbst hosten, prüfen Sie, welche Themes, PlugIns etc. installiert sind. Löschen Sie alles, was Sie nicht mehr benötigen, und bringen Sie den Rest auf dem aktuellen Stand. Sofern Sie das nicht alles sowieso regelmäßig tun. Gerade bei älteren Installationen sammelt sich manches an, was gar nicht mehr gebraucht wird.

Und falls Sie statt WordPress zum Beispiel s9y verwenden, oder irgend eine andere Webanwendung: Für Sie gilt sinngemäß das Gleiche. Wobei mir einfällt, dass ich diese s9y-Installation auch mal wieder "richtig" aktualisieren könnte, statt nur manuell die Schwachstellen zu beheben.

Während bei WordPress-Plugins und -Themes (und entsprechend auch bei allen anderen Webanwendungen) Patches oft aus Unwissenheit nicht installiert werden, gibt es für die mangelnde Patch-Bereitschaft für OpenSSL wohl einen anderen Grund: Absichtliche Ignoranz.

OpenSSL - Wer jetzt noch nicht hat, der will auch nicht

Wer angesichts der vielen Berichte über die Heartbleed-Schwachstelle und den drohenden Gefahren bisher keinen Patch installiert hat, wird es sehr wahrscheinlich auch in Zukunft nicht tun. Warum sollte jemand, der seinen Server absichtlich so lange möglichen Angriffen aussetzt, jetzt plötzlich ein Update oder einen Patch installieren?

Eigentlich gibt es für das Nicht-Patchen doch nur drei mögliche Gründe: Die Schwachstelle wurde nicht behoben, weil ...

1. ... es keinen Patch und kein Update gibt.
2. ... sie den Verantwortlichen aus welchen Gründen auch immer nicht stört.
3. ... die Verantwortlichen nichts von der Schwachstelle und dem zu installierenden Patch/Update wissen.

Möglichkeit 1 halte ich für unwahrscheinlich. Gibt es wirklich immer noch Konfigurationen, die von der Schwachstelle betroffen sind und für die es noch keinen Patch gibt? Wenn ja, wird es sehr wahrscheinlich auch keinen Patch mehr geben.
Auf diesen Servern wird die Heartbleed-Schwachstelle also erst bei einem Wechsel des Systems behoben werden. Und bis es soweit ist wird es noch einige Zeit dauern, Server-Betriebssysteme tauscht man ja doch eher selten aus. Auch wenn es in diesem Fall dringend nötig wäre - ein System, in dem eine so wichtige Schwachstelle nicht gepatcht wird, enthält sicher noch viele weitere Schwachstellen. So etwas möchte man eigentlich nicht auf seinem Server haben.

Möglichkeit 2 erscheint mir dagegen sehr viel wahrscheinlicher. Und an diesen Gründen wird sich so schnell dann auch nichts ändern. Warum auch? Weil es einen neuen Bericht über einen erfolgreichen Angriff gibt? Solche Berichte gab es schon von Anfang an. Wen die bisherigen Angriffe nicht gestört haben, dürften auch alle zukünftigen Angriffe nicht stören. So lange es nicht gerade den eigenen Server erwischt.
Auf diesen Server wird das Update also höchstens dann installiert, wenn sie bereits angegriffen wurden und der Angriff auffällt. Oder wenn jemand den Verantwortlichen auf die Füße steigt und sie zur Installation des Updates verdonnert. Was schon längst hätte passieren müssen. Nach so relativ langer Zeit wird sich da wohl nichts mehr tun.

Möglichkeit 3 halte ich wieder für unwahrscheinlich. Wer von Heartbleed nichts gehört hat muss wohl unter dem sprichwörtlichen Stein leben. Ob der dann einen Internetanschluss hat und OpenSSL verwendet wage ich doch ganz stark zu bezweifeln. Ich gehe davon aus, dass wir diesen Fall ausklammern können.

Eine vierte Möglichkeit klammere ich ebenfalls mal komplett aus: Es weiß niemand, dass das System von der Schwachstelle betroffen ist. Das kann vielleicht bei allen möglichen Anwendungen und auch manchen Netzwerkdiensten passieren, aber nicht bei so etwas wie OpenSSL.
Es mag vielleicht ein paar wenige Admins geben, die OpenSSL unabsichtlich oder unbemerkt installiert haben und gar nicht wissen, dass es das auf ihrem Server überhaupt gibt. Aber diese Server wurden mit ziemlicher Sicherheit beim Test gar nicht berücksichtigt. Denn man kann vielleicht OpenSSL unbemerkt mitinstallieren, dadurch hat der Server aber noch lange nicht das für den Betrieb benötigte Schlüsselpaar und Zertifikat. Und das kann man garantiert nicht unbemerkt und unbeabsichtigt beantragen. Von ebenfalls notwendigen installieren und konfigurieren ganz zu schweigen.

Fazit: Wer den Patch bisher nicht installiert hat, hat das sehr wahrscheinlich mit Absicht gemacht. Und wird es darum so schnell auch nicht tun. Die jetzt noch ungeschützten Systeme bekommen den Patch höchstens, wenn bei der nächsten größeren Wartung alle bis dahin aufgelaufenen Patches installiert werden. Oder wenn das System irgendwann aktualisiert wird. Oder wenn der Server durch einen neuen Server mit dann aktuellen System ersetzt wird. Viele Systeme werden also vermutlich bis zu ihrem Ausfall ungeschützt bleiben. Ist es fies, wenn ich diesen Servern einen baldigen Ausfall wünsche?

Carsten Eilers