Angebliches Sicherheitsproblem in Lighthouse

Am 10. Februar 2006 ist uns bekannt geworden, dass die Seite pridels.blogspot.com am 18. Dezember 2005 ein Sicherheitsproblem in Lighthouse entdeckt haben will. Unter http://pridels.blogspot.com/2005/12/lighthouse-cms-xss-vuln.html ist nachzulesen, dass Lighthouse angeblich anfällig für client-seitige Cross-Site-Scripting-Attacken sei.

Wir möchten darauf hinweisen, dass diese Meldung falsch ist: Die Behauptung entbehrt jeglicher Grundlage. Das Lighthouse Content Management System ist nicht, und war nie, anfällig für diese Art von Angriffen und weist keine bekannten Sicherheitslöcher in dieser oder anderer Hinsicht auf. Wir sind der Auffassung, dass Warnungen vor Sicherheitsproblemen in Softwareprodukten sehr ernst genommen werden müssen; dies bedingt jedoch auch, dass Sicherheitswarnungen vor ihrer Bekanntmachung sorgfältig geprüft werden.

Wir bedauern, wie sorglos hier durch pridels.blogspot.com vorgegangen wurde und möchten auf folgende Punkte besonders hinweisen:

Wir wurden von diesem angeblichen Sicherheitsproblem zu keinem Zeitpunkt informiert oder um eine Stellungnahme dazu gebeten, weder vor noch nach der oben genannten Veröffentlichung.
Andere Webseiten, zum Beispiel http://www.osvdb.org/displayvuln.php?osvdb_id=21852, haben die falsche Meldung ohne weitere Prüfung übernommen und beschreiben den angeblichen Fehler folgendermaßen: "This flaw exists because the application does not validate the 'search' variable upon submission to the 'index.php' script." Diese Behauptung ist unsinnig, da Lighthouse in keiner Weise auf der Technologie von PHP beruht.
Das Lighthouse Content Management System ist ein Application-Server und stellt dem Anwender mächtige Funktionalitäten zur Erstellung, Programmierung und Verwaltung von web-basierten Applikationen zur Verfügung. Für client-seitige Cross-Site-Scripting-Attacken anfällig kann eine solche Technologie für sich alleine genommen nicht sein, sondern nur Applikationen, die mit solch einer Technologie erstellt wurden. Dies betrifft jedoch nicht nur Lighthouse, sondern auch Perl, PHP oder Webapplikationen, die auf der Java-Servlet-Technologie basieren.

[ Deutsch ] [ English ]

Home Aktuell Features Screenshots FAQ Impressum	Angebliches Sicherheitsproblem in Lighthouse Am 10. Februar 2006 ist uns bekannt geworden, dass die Seite pridels.blogspot.com am 18. Dezember 2005 ein Sicherheitsproblem in Lighthouse entdeckt haben will. Unter http://pridels.blogspot.com/2005/12/lighthouse-cms-xss-vuln.html ist nachzulesen, dass Lighthouse angeblich anfällig für client-seitige Cross-Site-Scripting-Attacken sei. Wir möchten darauf hinweisen, dass diese Meldung falsch ist: Die Behauptung entbehrt jeglicher Grundlage. Das Lighthouse Content Management System ist nicht, und war nie, anfällig für diese Art von Angriffen und weist keine bekannten Sicherheitslöcher in dieser oder anderer Hinsicht auf. Wir sind der Auffassung, dass Warnungen vor Sicherheitsproblemen in Softwareprodukten sehr ernst genommen werden müssen; dies bedingt jedoch auch, dass Sicherheitswarnungen vor ihrer Bekanntmachung sorgfältig geprüft werden. Wir bedauern, wie sorglos hier durch pridels.blogspot.com vorgegangen wurde und möchten auf folgende Punkte besonders hinweisen: Wir wurden von diesem angeblichen Sicherheitsproblem zu keinem Zeitpunkt informiert oder um eine Stellungnahme dazu gebeten, weder vor noch nach der oben genannten Veröffentlichung. Andere Webseiten, zum Beispiel http://www.osvdb.org/displayvuln.php?osvdb_id=21852, haben die falsche Meldung ohne weitere Prüfung übernommen und beschreiben den angeblichen Fehler folgendermaßen: "This flaw exists because the application does not validate the 'search' variable upon submission to the 'index.php' script." Diese Behauptung ist unsinnig, da Lighthouse in keiner Weise auf der Technologie von PHP beruht. Das Lighthouse Content Management System ist ein Application-Server und stellt dem Anwender mächtige Funktionalitäten zur Erstellung, Programmierung und Verwaltung von web-basierten Applikationen zur Verfügung. Für client-seitige Cross-Site-Scripting-Attacken anfällig kann eine solche Technologie für sich alleine genommen nicht sein, sondern nur Applikationen, die mit solch einer Technologie erstellt wurden. Dies betrifft jedoch nicht nur Lighthouse, sondern auch Perl, PHP oder Webapplikationen, die auf der Java-Servlet-Technologie basieren.
Home Aktuell Features Screenshots FAQ Impressum	© 2004-2007 Fidra Software Entwicklung, Volker Lanz