Closed Thread
Page 1 of 2 12 LastLast
Results 1 to 15 of 18

Thread: [Sicherheitswarnung] Kritische Sicherheitslücke in der TTT-Source

  1. #1
    Moderator
    Rebound's Avatar
    Join Date
    19.04.07
    Location
    Ende der Welt
    P2P Client
    Faze Mod 0.2 Private Beta
    Posts
    3,723
    Activity Longevity
    6/20 20/20
    Today Posts
    0/5 sssss3723

    [Sicherheitswarnung] Kritische Sicherheitslücke in der TTT-Source

    Wir haben eine Sicherheitslücke in der TTT-Source gefunden, die offenbar standardmäßig vorhanden ist. In der Vergangenheit haben wir Tracker mit der TTT-Source als "Safe" bewertet. Die Lücke haben wir übersehen, da sie nur unter bestimmten Umständen ausnutzbar ist.

    Um den Betreibern Zeit zum Handeln zu geben und die Tracker nicht unnötig zu gefährden, wurden bis auf Weiteres alle Security-Reviews von Trackern die die TTT-Source verwenden in einen unsichtbaren Bereich verschoben. Zumindest sofern uns die Source bekannt ist.
    Die Verantwortlichen der betroffenen Tracker können sich bei mir für weitere Informationen zur Sicherheitslücke melden.

    Sofern es uns möglich ist, werden wir die betroffenen Tracker zeitnah auf diese Lücke untersuchen und unsere Security-Reviews ggf. korrigieren.


    Thanks

  2. Who Said Thanks:

    Data1 (13.11.19) , .Pogo. (12.11.19) , Snitlev (12.11.19) , waffi (12.11.19)

  3. #2
    Tempel Staff
    Join Date
    09.10.11
    Location
    Italy
    P2P Client
    rtorrent
    Posts
    36
    Activity Longevity
    0/20 15/20
    Today Posts
    0/5 sssssss36
    Wenn ihr die Lücke und die Umstände benennt, und es sich um einen in der Entwicklung verursachten Bug handelt, werden wir einen FIX zu verfügung stellen.
    Last edited by uk501; 13.11.19 at 00:45.
    Thanks

  4. Who Said Thanks:

    hunterman (13.11.19) , T89 (13.11.19)

  5. #3
    Moderator
    Rebound's Avatar
    Join Date
    19.04.07
    Location
    Ende der Welt
    P2P Client
    Faze Mod 0.2 Private Beta
    Posts
    3,723
    Activity Longevity
    6/20 20/20
    Today Posts
    0/5 sssss3723
    Weitere Informationen dazu werden wir aus Sicherheitsgründen nicht veröffentlichen und nur direkt an die verantwortlichen Betreiber weitergeben.


    Thanks

  6. #4

    Join Date
    21.07.18
    Location
    Deutschland
    Posts
    11
    Activity Longevity
    0/20 7/20
    Today Posts
    0/5 sssssss11
    Ich kann mich T89 nur anschließen in der (OriginalTTT) ist dieser Bug nicht vorhanden für alle anderen geänderten Versionen kann dies nicht bestätigt werden der Bug sollte schnell auffallen undit der Absicherung der Post variable Geschichte sein. Ich werde die ITT dementsprechend nochmals prüfen bovor sie dann veröffentlicht wird.
    Last edited by Bluesteel; 13.11.19 at 11:09. Reason: Nachtrag
    Thanks

  7. Who Said Thanks:

    hunterman (13.11.19) , uk501 (13.11.19) , amsel (13.11.19) , T89 (13.11.19)

  8. #5
    Moderator
    Rebound's Avatar
    Join Date
    19.04.07
    Location
    Ende der Welt
    P2P Client
    Faze Mod 0.2 Private Beta
    Posts
    3,723
    Activity Longevity
    6/20 20/20
    Today Posts
    0/5 sssss3723
    Ist nicht unser Problem, wenn ihr eure Sourcen auf irgendwelchen Hinterhöfen ohne Versionierung und eindeutiger Bezeichnungen entwickelt. Es sind mehrere Tracker von der Lücke betroffen, also muss sie standardmäßig in irgendeinem Paket vorhanden sein. Richtig erbärmliche Vorstellung hier von einigen Staffern.

    Noch schlimmer ist die Tatsache, dass die Lücke offenbar schon bekannt ist. Wieso habt ihr die betroffenen Tracker dann nicht selber informiert? Die fehlende Solidarität unter Trackerbetreibern in Deutschland ist alarmierend!


    Thanks

  9. Who Said Thanks:

    waffi (13.11.19) , .Pogo. (13.11.19) , ***BrainFire*** (13.11.19)

  10. #6

    Join Date
    21.07.18
    Location
    Deutschland
    Posts
    11
    Activity Longevity
    0/20 7/20
    Today Posts
    0/5 sssssss11
    Als erstes bei allem nötigen Respekt Rebound glaub ich nicht das irgendwer seine source in hinterhöfen entwickelt, desweiteren wurde genau eine Version veröffentlicht und dies ist die originale TTT, in dieser Version gab is besagtes Modul nicht und somit auch die erwähnte Lücke, nur wenn die Source verändert wird, kann man keine Garantie mehr geben, das sollte doch klar sein, leider kochen die meisten Betreiber ihr eigenes Süppchen womit es schwierig wird alle davon zu informieren ich selbst habe heute darauf hingewiesen und werde dies an geeigneter Stelle nochmals veröffentlichen. Ich find nur schade das hier vor einer Lücke gewarnt wird diese aber nicht konkret benannt wird.
    Thanks

  11. #7

    Join Date
    14.03.19
    Posts
    41
    Activity Longevity
    0/20 6/20
    Today Posts
    0/5 sssssss41
    Quote Originally Posted by Rebound View Post
    ... Die fehlende Solidarität unter Trackerbetreibern in Deutschland ist alarmierend!
    Wie wahr, kann man nicht besser ausdrücken, traurig.
    Thanks

  12. Who Said Thanks:

    xJ9_ (16.11.19)

  13. #8
    Moderator
    Rebound's Avatar
    Join Date
    19.04.07
    Location
    Ende der Welt
    P2P Client
    Faze Mod 0.2 Private Beta
    Posts
    3,723
    Activity Longevity
    6/20 20/20
    Today Posts
    0/5 sssss3723
    Quote Originally Posted by Bluesteel View Post
    Ich find nur schade das hier vor einer Lücke gewarnt wird diese aber nicht konkret benannt wird.
    Denke über diesen Satz noch mal nach. Vielleicht kommst du von alleine drauf, wieso das (vorschnelle) Veröffentlichen von Sicherheitslücken keine gute Idee ist. Es ist in der IT übrigens gängige Praxis, dass man den Verantwortlichen Zeit zum Handeln gibt, bevor solche sensiblen Informationen veröffentlicht werden. Sowas solltest du als Entwickler eigentlich am besten wissen.

    Mag sein, dass die Lücke bereits bekannt war oder ist. Bevor wir weiteren Schaden anrichten agieren wir jedoch lieber defensiver und geben den Betreibern eine faire Möglichkeit zum Handeln.


    Thanks

  14. Who Said Thanks:

    xJ9_ (16.11.19)

  15. #9

    Join Date
    21.07.18
    Location
    Deutschland
    Posts
    11
    Activity Longevity
    0/20 7/20
    Today Posts
    0/5 sssssss11
    Ich habe jezt alle Betreiber der besagten Source Version auf die kritische Region hingewiesen damit sollten alle in der Lage sein entweder das besagte Modul abzuschalten oder aber besagte stelle zu fixen. Damit sollte das Thema in ein paar Tagen erledigt sein sollten dann immernoch tracker über besagte Stelle angreifbar sein kann ich leider nichts weiter tun.
    Thanks

  16. Who Said Thanks:

    Rebound (13.11.19)

  17. #10

    Join Date
    12.01.11
    P2P Client
    µTorrent 1.6.1
    Posts
    20
    Activity Longevity
    0/20 16/20
    Today Posts
    0/5 sssssss20
    Quote Originally Posted by Rebound View Post
    Die fehlende Solidarität unter Trackerbetreibern in Deutschland ist alarmierend!
    Weil jeder seine eigene Suppe kochen will, statt eine große Gemeinschaft zu sein. Dazu gibt es im Gods Forum gerade ein interessantes Thema. Blackmax hat dort die Idee von einem Zusammenschluss vieler kleiner Tracker. Er hinterfragt, wieso es so viele kleine Tracker gibt, anstatt zusammenzuarbeiten. Die Idee ist allein nur deswegen utopisch, weil es KEINEN Zusammenhalt in der "Scene" gibt!

    Und sind wir ehrlich: War das vor 10-15 Jahren wirklich anders? Nicht wirklich.
    Last edited by verbatim52x; 13.11.19 at 17:22.
    Thanks

  18. Who Said Thanks:

    PRIME (16.11.19)

  19. #11

    Join Date
    22.11.09
    Posts
    5
    Activity Longevity
    0/20 17/20
    Today Posts
    0/5 ssssssss5
    Quote Originally Posted by Rebound View Post
    Denke über diesen Satz noch mal nach. Vielleicht kommst du von alleine drauf, wieso das (vorschnelle) Veröffentlichen von Sicherheitslücken keine gute Idee ist. Es ist in der IT übrigens gängige Praxis, dass man den Verantwortlichen Zeit zum Handeln gibt, bevor solche sensiblen Informationen veröffentlicht werden. Sowas solltest du als Entwickler eigentlich am besten wissen.

    Mag sein, dass die Lücke bereits bekannt war oder ist. Bevor wir weiteren Schaden anrichten agieren wir jedoch lieber defensiver und geben den Betreibern eine faire Möglichkeit zum Handeln.
    Genau so ist es Rebound...
    Was ich aber nicht so sehe ist,das die Leute untereinander nicht Helfen. Es gibt schon so 1-3 Developer die anderen Helfen....
    Doch das Problem was ich sehe ist, das jeder Depp ohne Vorkenntnisse einen Tracker aufmachen kann mittlerweile.
    Das ist ein Grund warum ich eine Source Fahre die kein anderer hat... und nichts mit TTT oder NV Source
    Thanks

  20. #12

    Join Date
    03.04.13
    Location
    Bit-Titan Staff
    P2P Client
    RTorrent
    Posts
    15
    Activity Longevity
    0/20 13/20
    Today Posts
    0/5 sssssss15
    Nabend zusammen ,

    Danke für das Geschriebene, da mein Account ja eh gleich dicht sein wird und der Post gelöscht hoffe ich, das es vielleicht noch so 2-3 Leser noch lesen. Entschuldigen Sie bitte Herr Rebound, das so 2-3 Coder hier Argumente anbringen, die durchaus gegen eure Methoden sprechen. Die Lücke ist in der "Original" TTT - Source nun mal nicht vorhanden, also ist es keine. Was irgendwelche Coder in irgendwelchen Projekten noch einbauen und Nutzen, was hat das Original damit zu tun ? Es wurde direkt nach Erkennung des "Kaffee" Bugs" eine Lösung von einem der Entwickler und kurze zeit später eine von einen dem Projekt ITT nicht zugewandtem Coder angeboten, was passiert? Accounts gelöscht und Posts entfernt, soviel zum Thema Seriosität und Unabhängigkeit, und wie hieß es :

    "Rebound am 13.11.19 um 15:28 "Noch schlimmer ist die Tatsache, dass die Lücke offenbar schon bekannt ist. Wieso habt ihr die betroffenen Tracker dann nicht selber informiert? Die fehlende Solidarität unter Trackerbetreibern in Deutschland ist alarmierend!" Das zum Thema Zusammenhalt usw.

    Ich für mich, und ich denke mittlerweile auch die Großzahl der Trackernutzer haben für sich festgestellt wie hier das hier mit den Tests und Bewertungen abläuft,...

    In dem Sinne
    Thanks

  21. Who Said Thanks:

    jupp56 (14.11.19)

  22. #13

    Join Date
    12.01.11
    P2P Client
    µTorrent 1.6.1
    Posts
    20
    Activity Longevity
    0/20 16/20
    Today Posts
    0/5 sssssss20
    Quote Originally Posted by Rebound View Post
    Es sind mehrere Tracker von der Lücke betroffen, also muss sie standardmäßig in irgendeinem Paket vorhanden sein.
    Nun wo die Entwickler Stellung bezogen haben, und klar ist, dass es eine Lücke produziert von Dritten ist, ist es da nun nicht angebracht, zurück zu rudern?
    Thanks

  23. Who Said Thanks:

    jupp56 (14.11.19) , PRIME (14.11.19)

  24. #14
    Moderator
    Rebound's Avatar
    Join Date
    19.04.07
    Location
    Ende der Welt
    P2P Client
    Faze Mod 0.2 Private Beta
    Posts
    3,723
    Activity Longevity
    6/20 20/20
    Today Posts
    0/5 sssss3723
    Zurückrudern? Die Lücke ist doch vorhanden. Laut Aussage verschiedener Betreiber sogar schon lange bekannt. Ob die Source jetzt TTT-Source, ITT-Source oder Penis-1337-Source heißt ist doch völlig egal. Auch wer sie eingebaut hat. Irgendwer hat eine "Source" verteilt mit dieser Sicherheitslücke und davor warnen wir hier. Die betroffenen Tracker werden schon wissen ob sie gemeint sind oder nicht.

    Hätten wir das Thema hier nicht publik gemacht, wüssten die betroffenen Tracker bis heute nichts davon. Hätten die Personen die angeblich schon lange von der Lücke wussten etwas mehr Zivilcourage gehabt und die Betreiber im Vorfeld aufgeklärt, wäre diese Warnung gar nicht notwendig gewesen. Daher ist ein Zurückrudern gar nicht notwendig und die Antworten in diesem Thema zeigen einmal mehr, wie unfassbar egoistisch die meisten Verantwortlichen in dieser Branche agieren.

    Letztendlich hat SBI einmal mehr aufgezeigt, wie kaputt die deutsche Tracker-Szene ist und wie bitter notwendig solche Aktionen in dieser hasserfüllten Branche sind.


    Thanks

  25. Who Said Thanks:

    xJ9_ (16.11.19) , HellsBells (14.11.19) , ***BrainFire*** (14.11.19)

  26. #15

    Join Date
    21.07.18
    Location
    Deutschland
    Posts
    11
    Activity Longevity
    0/20 7/20
    Today Posts
    0/5 sssssss11
    Richtig es sind Betreiber denen der Bug bekannt war.... Ich habe erst gestern davon erfahren und wie bereits bekannt ist... DIREKT reagiert genauso die ENTWICKLER BESAGTER ORIGINAL Source also kann man nur denen einen Vorwurf machen die die Lücke schon länger kannten und andere Nutzer der Version nicht gewarnt haben Es wurde seitens der Entwickler direkt Hilfe angeboten diese wurde aber dankend abgelehnt! Also kann von mangelnder Hilfsbereitschaft keine Rede sein! ES WURDE GESTERN OFFIZIELL EIN FIX DIESER LÜCKE VERÖFFENTLICHT bei NVT sollten alle Betreiber der Version mal vorbeischauen.
    Thanks

  27. Who Said Thanks:

    eDoc (14.11.19) , IsBack (14.11.19) , PRIME (14.11.19) , jupp56 (14.11.19) , hunterman (14.11.19)

Closed Thread
Page 1 of 2 12 LastLast

Tags for this Thread

Posting Permissions

  • You may post new threads
  • You may post replies
  • You may not post attachments
  • You may not edit your posts
  •