Confixx 3 Sicherheitslücken?

Dieses Thema im Forum "Admin- & Verwaltungssoftware[Gewerbliche Angebote]" wurde erstellt von bouncerdiscount, 30. Januar 2005.

Status des Themas:
Es sind keine weiteren Antworten möglich.
  1. bouncerdiscount

    bouncerdiscount New Member

    Registriert seit:
    9. Januar 2005
    Beiträge:
    299
    Hallo,

    gibt es eine Liste mit allen Sicherheitslücken die bekannt sind?
    Ich habe mal gehört, dass z.B. das Resellerpasswort gehackt werden kann oder so?
     
  2. mati

    mati New Member

    Registriert seit:
    10. Januar 2005
    Beiträge:
    14
    Ich habe gehört, dass Confixx generell ein großes Sicherheitsloch ist. Dazu noch extrem unflexibel und nicht an eigene Konfigurationen anpassbar.

    Das Problem mit Sicherheitslücken wirst du bei Confixx immer haben. Mag wohl an der weiten verbreitung des Teils liegen.

    Im Forum von Confixx und in der downloadsektion kannst du dich über aktuelle Bugs und Sicherheitslücken informieren. In den Patches eine "New in this Version" Datei enthalten ist die alle Probleme die bekannt sind auflistet.
     
    Zuletzt bearbeitet: 30. Januar 2005
  3. freespace4all

    freespace4all New Member

    Registriert seit:
    10. Dezember 2004
    Beiträge:
    384
    Ort:
    56179 Vallendar
    Hallo,

    "Ich habe mal gehört....", "Ich habe gehört..." ....
    Wo habt ihr das denn alles gehört? Gibt es für Eure Behauptungen irgendwelche echten Quellen und/oder Bestätigungen?

    Dass solche Sicherheitslücken auftreten, liegt doch in den meisten Fällen nicht an Confixx oder anderer Software, sondern an Leuten die meinen, weil sie es geschafft haben, ein Linux zu installieren oder sich einen Rootserver zu mieten, gleich ein Serveradmin zu sein.

    Die meisten Sicherheitslücken lassen sich durch ein gut und gewissenhaft konfiguriertes System stopfen.
     
  4. mati

    mati New Member

    Registriert seit:
    10. Januar 2005
    Beiträge:
    14
    Wer Ironie versteht ist klar im Vorteil.

    Mit "habe ich gehört" wollte ich sagen "ich weiss es".
    Und dies sage ich nicht nur weil ich es irgendwo gelesen/gehört/aufgeschnappt habe sondern ich spreche aus Erfahrung.

    Klar liegt das Problem der Sicherheitslücken auch an unwissenden Anbietern, zu einem großen Teil sogar. Allerdings trägt Confixx noch ein großes Stück dazu bei.

    Hast du schonmal versucht Confixx in einer Jailumgebung, ohne vHosts und sonstigen Firlefanz laufen zu lassen?
    Ich rede jetzt nur von so kleinen Sachen und erwähne besser nicht das es auch toll wäre php und cgi nur mit Userrechten laufen zu lassen, suexec nicht zu verwenden.

    Und das geht alles mit confixx? Und du willst mir ernsthaft erzählen das es nicht an Confixx oder anderer Software liegt? Dann sag mir mal bitte wieso es massig und genug patches für das Teil gibt.

    Wenn du wirklich glaubst das man durch ein gut und gewissenhaft konfiguriertes System die meisten Sicherheitslücken gestopft hast, dann tust du mir echt leid.

    Es ist leider nicht damit getan ein paar Ports dich zu machen und das die ganzen SuSE Leute mal ihr Yast SuSE Update anwerfen.
    Es hat vielmehr etwas mit dem Design zu tun. Wenn du weder Konzept noch Fähigkeit hast gute Software zu programmieren dann hast du _immer_ Lücken im System, und das ist mit Confixx nunmal das gleiche Problem wie mit vielen verbreiteten PHP Portalen wie PHP Nuke.
    Ohne Kenntnisse zu den Services die du anbietest nützt dir das Update aber auch nichts. Wer nicht mehr in der Lage ist einfache Banner von bsp. Apache zu entfernen und somit offensichtliche und einfache Versionsabfragen zu verhindern und das gleiche für den Mailserver auch zu tun, der soll mal nichts über Sicherheitslücken und richtig und gut stopfen erzählen.

    Kannst ja gerne mal bei Google nach Exploits oder Advisories zu Confixx schauen.

    Das ganze nennt man "Broken by Design" oder auch "Ohne Sicherheitskonzept gibt es keinen Blumentopf zu gewinnen".

    Schönen Tach
    mati
     
  5. freaky

    freaky New Member

    Registriert seit:
    26. Mai 2002
    Beiträge:
    229
    Ja, und !?!?!
    Anscheined haben über 30 000 Users damit kein Problem :)
    Außerdem wird die Software nicht weiterentwickelt - also total OffTopic

    p.s. wie kann man das Reseller Password ändern - das würde ich gern ausprobieren :)
     
  6. mati

    mati New Member

    Registriert seit:
    10. Januar 2005
    Beiträge:
    14
    [ ] Du hast dir schonmal das Confixx Supportforum angeschaut?
     
  7. XEa Medien

    XEa Medien Gesperrt

    Registriert seit:
    31. Januar 2005
    Beiträge:
    7
    Warum?

    Wenn Confixx so scheise ist wie du sagst, warum nutzt du es dann oder hast es genutzt? Es gibt viele renomierte Webhoster die auf Confixx setzen aber ne da kommt nen kleiner wie schon erwähnt der sich freut zu wissen was Confixx ist und behauptet COnfixx is nen Sicherheitsloch. Klar nen bischen verbugt ist es wurde aber in den letzten Versionen viel behoben.
     
  8. Dorijan

    Dorijan Erfahrener Benutzer

    Registriert seit:
    29. August 2002
    Beiträge:
    1.054
    Ort:
    Frankfurt/Main
    die verbreitung liegt an den rz lizenzen.

    gerade grosse betreiber wie 1&1 / ipx geben confixx ja kostenlos mit dazu.
    bzw 1&1 nicht mehr da sie nun auf plesk setzen.

    die "renormierten" webhoster haben(bzw sollten) selbst hand angelegt(haben) und die sicherheitslücken eingedämmt bzw die verbuggten features abgeschaltet (haben).

    zu den confixx eigenen macken in punkto sicherheit kommen natürlich die normalen linux exploits und viele sehen das als manko von confixx an.

    den versuch confixx als lösung für grosse isps einzuführen ist ja auch mangels akzeptanz gescheitert.
     
  9. mati

    mati New Member

    Registriert seit:
    10. Januar 2005
    Beiträge:
    14
    Um über irgendwas mitreden zu können sollte man es vorher auch mal selber probiert haben. Klar habe ich mit confixx auch schon gearbeitet, allerdings entspricht es in keinster Weise mit dem was ich möchte.
    In Punkto "Ich biete alles und nichts" mag es unübertroffen sein. Allerdings ist es schade das es nur mit vordefinierten Programmen wie Sendmail oder QMail (als Beispiel) arbeitet und dann noch ganz seltsame Ansichten hat wie man mit Spam umgeht und dies über Procmail realisiert.
    Wieso kann ich Confixx nicht dynamisch in MySQL DB Strukturen integrieren? Es gibt viele die Ihre Configs über SQL laufen lassen weil es einfach flexibler ist und mit weiteren Programmen weiterhin darauf gearbeitet werden kann.

    Was haben Confixxeinträge in Mail, DNS oder sonstigen Konfigurationen zu suchen?

    Renomiert? Tja, aber in was, in Punkto billig oder Service?
    Confixx ist mal schnell auf den Rechner "gerotzt" und man kann seinen Kunden somit alles mögliche anbieten. Fachwissen wird dafür nicht mal mehr vorrausgesetzt.
    Was machst du denn wenn du dir mal aus unerfindlichen Gründen eine Table in Confixx zerschiesst? Ich denke mal nicht das du das System so gut kennst das du es mal ebend fixen kannst das es wieder läuft.

    wieso bist du so gereizt und wieso fühlst du dich so auf den Schlips getreten weil du 1&1 Reseller bist und du deswegen mit Confixx arbeiten musst?

    Und ich behaupte nicht das Confixx ein sicherheitsloch ist, es ist einfach eins. Aber wie gesagt, das liegt an der weiten Verbreitung.
    Deine Argumentation das es von "renomierten" Anbietern eingesetzt wird und aus diesen Gründen schonmal das "nonplusultra" ist ist absolut hinfällig.

    http://secunia.com/product/3174/
    http://lists.seifried.org/pipermail/security/2004-March/002216.html

    und natürlich noch viele viele mehr.
    Dieter Nuhr muss ich ja jetzt mal nicht zitieren.
     
  10. freaky

    freaky New Member

    Registriert seit:
    26. Mai 2002
    Beiträge:
    229
    Es ist mir egal, was da stehet. Ich setze Confixx nicht ein

    Eine Begegnung hatte ich aber schon => hier das Ergebnis
    http://forum.webhostlist.de/show/showthread.php?t=52947
     
  11. mati

    mati New Member

    Registriert seit:
    10. Januar 2005
    Beiträge:
    14
    Danke, du sprichst mir wirklich aus der Seele.
     
  12. Michael Hufnagl

    Michael Hufnagl Erfahrener Benutzer

    Registriert seit:
    12. Juni 2001
    Beiträge:
    3.067
    security by obscurity!

    nicht dein ernst, oder?
     
  13. mati

    mati New Member

    Registriert seit:
    10. Januar 2005
    Beiträge:
    14
    Es geht nicht um "Security by Obscurity". Wieso soll ich Scriptkiddies schon das Tor öffnen indem ich eine Bannerversion Anzeige. Am besten noch mit Distributionsname und zusätzlichen Modversionen. Das erspart jeden das mühseelige ausprobieren von Tools.

    Ein findiger Admin und dank Einsatz halbwegs gescheiter NIDS Systeme erkennt man Angriffe die auf Versionfingering aus sind sofort. Mit Angabe der Versionsnummer entfällt es jedoch da du einen Bufferoverflow in z.B. mod_ssl Abfragen nicht mehr ebend erkennst weil die meisten Angriffe, sofern sie die Sequenznummern für Anfragen nicht geladen haben, wie ein normaler https request aussehen.

    Bitte, erzähle mir nichts über "Security by Obscurity".
    Aber wieso sollte ich es Angreifern unnötig einfach machen?

    Sinn macht so eine angabe wie das öffnen schwachsinniger Ports auf einem Honeypot, besser noch in einem Honeynet (ob emuliert oder real) innerhalb der DMZ. Dadurch hast du effektivste Möglichkeiten Angriffe vorher zu erkennen.

    Aber, es ging um Confixx.... um beim thema zu bleiben.
     
  14. mikt

    mikt Erfahrener Benutzer

    Registriert seit:
    3. März 2002
    Beiträge:
    3.153
    1 Loch in 2 Jahren????
    Mehr sehe ich da nicht, kann sein, dass ich nur blind bin...
     
  15. mati

    mati New Member

    Registriert seit:
    10. Januar 2005
    Beiträge:
    14
    Wer lesen kann ist klar im Vorteil. Ich schrieb noch
    "und viele viele mehr".

    Wieso soll ich für dich die Suchmaschine meines Vertrauens anwerfen?
     
  16. mikt

    mikt Erfahrener Benutzer

    Registriert seit:
    3. März 2002
    Beiträge:
    3.153
    Stimmt, kann man nur von freundlichen Leuten erwarten
     
Status des Themas:
Es sind keine weiteren Antworten möglich.

Diese Seite empfehlen