Rebound
16.10.16, 23:40
Tracker: Turbowolke
Source: NV-Source
Wie Mitglieder von Turbowolke wohl bereits mitgekriegt haben dürften, haben wir bereits vor mehreren Wochen einen ersten Test auf diesem Tracker durchgeführt. Dieses Review ist ein Paradebeispiel dafür, wie eine Kooperation zwischen Tracker und SB-Innovation aussehen kann.
Bereits nach einigen Tests, gab es eine Nachricht vom verantwortlichen Coder im Postfach.
Nach einem kurzen, freundlichen Schriftwechsel, einigten wir uns auf eine Zusammenarbeit.
Wie ich auch in der Vergangenheit immer wieder betont habe, sind wir grundsätzlich immer dazu bereit zu helfen, wenn die Rahmenbedingungen stimmen. Sehr lobenswert war außerdem die Tatsache, dass der Coder sofort eine Nachricht an alle Mitglieder verschickt hat. Der Inhalt bezog sich auf unsere Tests und den weiteren Verlauf der Kooperation. Genau so geht man als Verantwortlicher mit einer solchen Situation um. Transparenz schaffen!
Serversicherheit
OS: Linux
FTP: glFTPd 2.01
WWW: Apache
Der Server lies sich nur Informationen über zwei Dienste entlocken. Zum einen natürlich der obligatorische Webserver und zum anderen ein FTP. Letzterer ist über 10 Jahre alt und hat bekannte Lücken.
Ein weiterer, interessanter Punkt ist eine Reihe von 21 aufeinanderfolgenden Ports, die kurz hinter dem FTP beginnen und nicht geschützt sind. In Anbetracht der Nähe zum FTP, könnte das die Spanne der Ports sein für PASV. Kein Problem per se, allerdings ist es generell keine gute Idee, auf dem Hauptserver des Trackers einen FTP zu haben. Vor allem keinen, der über 10 Jahre alt ist.
Zu gute halten muss man, dass sich kein SSH oder was auch immer sonst finden lässt. Abgesehen vom Alter des FTP macht der Server daher einen besseren Eindruck, als die meisten anderen die wir unter die Lupe genommen haben.
Trackersicherheit
Sicherheitslücken bei Turbowolke zu finden war nicht besonders schwierig. Die lückenbehaftete NV-Source zeigte sich auch hier mal wieder in voller Pracht. Gleich fünf schwere bis sehr schwere Lücken waren auffindbar. Zugriff zur Datenbank war kein Problem. Die Lücken wurden in Zusammenarbeit mit dem Coder mittlerweile allesamt geschlossen. Der Tracker stellt kein Sicherheitsproblem mehr dar.
Fazit
Nur durch das selbstbewusste und handlungsschnelle Auftreten des Coders, konnte ein „Unsafe“ abgewendet werden. Es freut uns, dass es nach den ganzen Negativbeispielen der letzten Jahre endlich mal ein Review gibt was gut ausfällt, obwohl die Testergebnisse negativ waren. Mitglieder von Turbowolke brauchen sich keine Sorgen machen. Die Daten sind bei uns sicher und die vorhandenen Lücken beseitigt. :P
http://www.sb-innovation.de/attachment.php?attachmentid=15433
Source: NV-Source
Wie Mitglieder von Turbowolke wohl bereits mitgekriegt haben dürften, haben wir bereits vor mehreren Wochen einen ersten Test auf diesem Tracker durchgeführt. Dieses Review ist ein Paradebeispiel dafür, wie eine Kooperation zwischen Tracker und SB-Innovation aussehen kann.
Bereits nach einigen Tests, gab es eine Nachricht vom verantwortlichen Coder im Postfach.
Nach einem kurzen, freundlichen Schriftwechsel, einigten wir uns auf eine Zusammenarbeit.
Wie ich auch in der Vergangenheit immer wieder betont habe, sind wir grundsätzlich immer dazu bereit zu helfen, wenn die Rahmenbedingungen stimmen. Sehr lobenswert war außerdem die Tatsache, dass der Coder sofort eine Nachricht an alle Mitglieder verschickt hat. Der Inhalt bezog sich auf unsere Tests und den weiteren Verlauf der Kooperation. Genau so geht man als Verantwortlicher mit einer solchen Situation um. Transparenz schaffen!
Serversicherheit
OS: Linux
FTP: glFTPd 2.01
WWW: Apache
Der Server lies sich nur Informationen über zwei Dienste entlocken. Zum einen natürlich der obligatorische Webserver und zum anderen ein FTP. Letzterer ist über 10 Jahre alt und hat bekannte Lücken.
Ein weiterer, interessanter Punkt ist eine Reihe von 21 aufeinanderfolgenden Ports, die kurz hinter dem FTP beginnen und nicht geschützt sind. In Anbetracht der Nähe zum FTP, könnte das die Spanne der Ports sein für PASV. Kein Problem per se, allerdings ist es generell keine gute Idee, auf dem Hauptserver des Trackers einen FTP zu haben. Vor allem keinen, der über 10 Jahre alt ist.
Zu gute halten muss man, dass sich kein SSH oder was auch immer sonst finden lässt. Abgesehen vom Alter des FTP macht der Server daher einen besseren Eindruck, als die meisten anderen die wir unter die Lupe genommen haben.
Trackersicherheit
Sicherheitslücken bei Turbowolke zu finden war nicht besonders schwierig. Die lückenbehaftete NV-Source zeigte sich auch hier mal wieder in voller Pracht. Gleich fünf schwere bis sehr schwere Lücken waren auffindbar. Zugriff zur Datenbank war kein Problem. Die Lücken wurden in Zusammenarbeit mit dem Coder mittlerweile allesamt geschlossen. Der Tracker stellt kein Sicherheitsproblem mehr dar.
Fazit
Nur durch das selbstbewusste und handlungsschnelle Auftreten des Coders, konnte ein „Unsafe“ abgewendet werden. Es freut uns, dass es nach den ganzen Negativbeispielen der letzten Jahre endlich mal ein Review gibt was gut ausfällt, obwohl die Testergebnisse negativ waren. Mitglieder von Turbowolke brauchen sich keine Sorgen machen. Die Daten sind bei uns sicher und die vorhandenen Lücken beseitigt. :P
http://www.sb-innovation.de/attachment.php?attachmentid=15433