PDA

View Full Version : [Sicherheitswarnung] Kritische Sicherheitslücke in der TTT-Source



Rebound
12.11.19, 21:53
Wir haben eine Sicherheitslücke in der TTT-Source gefunden, die offenbar standardmäßig vorhanden ist. In der Vergangenheit haben wir Tracker mit der TTT-Source als "Safe" bewertet. Die Lücke haben wir übersehen, da sie nur unter bestimmten Umständen ausnutzbar ist.

Um den Betreibern Zeit zum Handeln zu geben und die Tracker nicht unnötig zu gefährden, wurden bis auf Weiteres alle Security-Reviews von Trackern die die TTT-Source verwenden in einen unsichtbaren Bereich verschoben. Zumindest sofern uns die Source bekannt ist.
Die Verantwortlichen der betroffenen Tracker können sich bei mir für weitere Informationen zur Sicherheitslücke melden.

Sofern es uns möglich ist, werden wir die betroffenen Tracker zeitnah auf diese Lücke untersuchen und unsere Security-Reviews ggf. korrigieren.

uk501
13.11.19, 00:39
Wenn ihr die Lücke und die Umstände benennt, und es sich um einen in der Entwicklung verursachten Bug handelt, werden wir einen FIX zu verfügung stellen.

Rebound
13.11.19, 00:44
Weitere Informationen dazu werden wir aus Sicherheitsgründen nicht veröffentlichen und nur direkt an die verantwortlichen Betreiber weitergeben.

Bluesteel
13.11.19, 11:08
Ich kann mich T89 nur anschließen in der (OriginalTTT) ist dieser Bug nicht vorhanden für alle anderen geänderten Versionen kann dies nicht bestätigt werden der Bug sollte schnell auffallen undit der Absicherung der Post variable Geschichte sein. Ich werde die ITT dementsprechend nochmals prüfen bovor sie dann veröffentlicht wird.

Rebound
13.11.19, 16:28
Ist nicht unser Problem, wenn ihr eure Sourcen auf irgendwelchen Hinterhöfen ohne Versionierung und eindeutiger Bezeichnungen entwickelt. Es sind mehrere Tracker von der Lücke betroffen, also muss sie standardmäßig in irgendeinem Paket vorhanden sein. Richtig erbärmliche Vorstellung hier von einigen Staffern.

Noch schlimmer ist die Tatsache, dass die Lücke offenbar schon bekannt ist. Wieso habt ihr die betroffenen Tracker dann nicht selber informiert? Die fehlende Solidarität unter Trackerbetreibern in Deutschland ist alarmierend!

Bluesteel
13.11.19, 16:57
Als erstes bei allem nötigen Respekt Rebound glaub ich nicht das irgendwer seine source in hinterhöfen entwickelt, desweiteren wurde genau eine Version veröffentlicht und dies ist die originale TTT, in dieser Version gab is besagtes Modul nicht und somit auch die erwähnte Lücke, nur wenn die Source verändert wird, kann man keine Garantie mehr geben, das sollte doch klar sein, leider kochen die meisten Betreiber ihr eigenes Süppchen womit es schwierig wird alle davon zu informieren ich selbst habe heute darauf hingewiesen und werde dies an geeigneter Stelle nochmals veröffentlichen. Ich find nur schade das hier vor einer Lücke gewarnt wird diese aber nicht konkret benannt wird.

Data1
13.11.19, 16:57
... Die fehlende Solidarität unter Trackerbetreibern in Deutschland ist alarmierend!

Wie wahr, kann man nicht besser ausdrücken, traurig.

Rebound
13.11.19, 17:03
Ich find nur schade das hier vor einer Lücke gewarnt wird diese aber nicht konkret benannt wird.

Denke über diesen Satz noch mal nach. Vielleicht kommst du von alleine drauf, wieso das (vorschnelle) Veröffentlichen von Sicherheitslücken keine gute Idee ist. Es ist in der IT übrigens gängige Praxis, dass man den Verantwortlichen Zeit zum Handeln gibt, bevor solche sensiblen Informationen veröffentlicht werden. Sowas solltest du als Entwickler eigentlich am besten wissen.

Mag sein, dass die Lücke bereits bekannt war oder ist. Bevor wir weiteren Schaden anrichten agieren wir jedoch lieber defensiver und geben den Betreibern eine faire Möglichkeit zum Handeln.

Bluesteel
13.11.19, 17:17
Ich habe jezt alle Betreiber der besagten Source Version auf die kritische Region hingewiesen damit sollten alle in der Lage sein entweder das besagte Modul abzuschalten oder aber besagte stelle zu fixen. Damit sollte das Thema in ein paar Tagen erledigt sein sollten dann immernoch tracker über besagte Stelle angreifbar sein kann ich leider nichts weiter tun.

verbatim52x
13.11.19, 17:21
Die fehlende Solidarität unter Trackerbetreibern in Deutschland ist alarmierend!Weil jeder seine eigene Suppe kochen will, statt eine große Gemeinschaft zu sein. Dazu gibt es im Gods Forum gerade ein interessantes Thema. Blackmax hat dort die Idee von einem Zusammenschluss vieler kleiner Tracker. Er hinterfragt, wieso es so viele kleine Tracker gibt, anstatt zusammenzuarbeiten. Die Idee ist allein nur deswegen utopisch, weil es KEINEN Zusammenhalt in der "Scene" gibt!

Und sind wir ehrlich: War das vor 10-15 Jahren wirklich anders? Nicht wirklich.

Ralphie
13.11.19, 17:22
Denke über diesen Satz noch mal nach. Vielleicht kommst du von alleine drauf, wieso das (vorschnelle) Veröffentlichen von Sicherheitslücken keine gute Idee ist. Es ist in der IT übrigens gängige Praxis, dass man den Verantwortlichen Zeit zum Handeln gibt, bevor solche sensiblen Informationen veröffentlicht werden. Sowas solltest du als Entwickler eigentlich am besten wissen.

Mag sein, dass die Lücke bereits bekannt war oder ist. Bevor wir weiteren Schaden anrichten agieren wir jedoch lieber defensiver und geben den Betreibern eine faire Möglichkeit zum Handeln.

Genau so ist es Rebound...
Was ich aber nicht so sehe ist,das die Leute untereinander nicht Helfen. Es gibt schon so 1-3 Developer die anderen Helfen....
Doch das Problem was ich sehe ist, das jeder Depp ohne Vorkenntnisse einen Tracker aufmachen kann mittlerweile.
Das ist ein Grund warum ich eine Source Fahre die kein anderer hat... und nichts mit TTT oder NV Source

hunterman
14.11.19, 00:09
Nabend zusammen ,

Danke für das Geschriebene, da mein Account ja eh gleich dicht sein wird und der Post gelöscht hoffe ich, das es vielleicht noch so 2-3 Leser noch lesen. Entschuldigen Sie bitte Herr Rebound, das so 2-3 Coder hier Argumente anbringen, die durchaus gegen eure Methoden sprechen. Die Lücke ist in der "Original" TTT - Source nun mal nicht vorhanden, also ist es keine. Was irgendwelche Coder in irgendwelchen Projekten noch einbauen und Nutzen, was hat das Original damit zu tun ? Es wurde direkt nach Erkennung des "Kaffee" Bugs" eine Lösung von einem der Entwickler und kurze zeit später eine von einen dem Projekt ITT nicht zugewandtem Coder angeboten, was passiert? Accounts gelöscht und Posts entfernt, soviel zum Thema Seriosität und Unabhängigkeit, und wie hieß es :

"Rebound am 13.11.19 um 15:28 "Noch schlimmer ist die Tatsache, dass die Lücke offenbar schon bekannt ist. Wieso habt ihr die betroffenen Tracker dann nicht selber informiert? Die fehlende Solidarität unter Trackerbetreibern in Deutschland ist alarmierend!" Das zum Thema Zusammenhalt usw.

Ich für mich, und ich denke mittlerweile auch die Großzahl der Trackernutzer haben für sich festgestellt wie hier das hier mit den Tests und Bewertungen abläuft,...

In dem Sinne

verbatim52x
14.11.19, 01:50
Es sind mehrere Tracker von der Lücke betroffen, also muss sie standardmäßig in irgendeinem Paket vorhanden sein. Nun wo die Entwickler Stellung bezogen haben, und klar ist, dass es eine Lücke produziert von Dritten ist, ist es da nun nicht angebracht, zurück zu rudern?

Rebound
14.11.19, 02:24
Zurückrudern? Die Lücke ist doch vorhanden. Laut Aussage verschiedener Betreiber sogar schon lange bekannt. Ob die Source jetzt TTT-Source, ITT-Source oder Penis-1337-Source heißt ist doch völlig egal. Auch wer sie eingebaut hat. Irgendwer hat eine "Source" verteilt mit dieser Sicherheitslücke und davor warnen wir hier. Die betroffenen Tracker werden schon wissen ob sie gemeint sind oder nicht.

Hätten wir das Thema hier nicht publik gemacht, wüssten die betroffenen Tracker bis heute nichts davon. Hätten die Personen die angeblich schon lange von der Lücke wussten etwas mehr Zivilcourage gehabt und die Betreiber im Vorfeld aufgeklärt, wäre diese Warnung gar nicht notwendig gewesen. Daher ist ein Zurückrudern gar nicht notwendig und die Antworten in diesem Thema zeigen einmal mehr, wie unfassbar egoistisch die meisten Verantwortlichen in dieser Branche agieren.

Letztendlich hat SBI einmal mehr aufgezeigt, wie kaputt die deutsche Tracker-Szene ist und wie bitter notwendig solche Aktionen in dieser hasserfüllten Branche sind. :biggrin:

Bluesteel
14.11.19, 08:36
Richtig es sind Betreiber denen der Bug bekannt war.... Ich habe erst gestern davon erfahren und wie bereits bekannt ist... DIREKT reagiert genauso die ENTWICKLER BESAGTER ORIGINAL Source also kann man nur denen einen Vorwurf machen die die Lücke schon länger kannten und andere Nutzer der Version nicht gewarnt haben Es wurde seitens der Entwickler direkt Hilfe angeboten diese wurde aber dankend abgelehnt! Also kann von mangelnder Hilfsbereitschaft keine Rede sein! ES WURDE GESTERN OFFIZIELL EIN FIX DIESER LÜCKE VERÖFFENTLICHT bei NVT sollten alle Betreiber der Version mal vorbeischauen.

IsBack
14.11.19, 19:08
Letztendlich hat SBI einmal mehr aufgezeigt, wie kaputt die deutsche Tracker-Szene ist und wie bitter notwendig solche Aktionen in dieser hasserfüllten Branche sind. :biggrin:

Was hast du?

Fakt ist: es wurde sofort hilfe angeboten, die von die abgelehnt wurde! Also reden wir nicht von einer Hasserfüllten Scene sonder ehr von einer Scene die mittlerweile Hasserfüllt gegen SB-I und insbesondere Dich ist!!!

Fakt ist auch: Du hast immer noch nicht geschnallt das ebenrum nicht egal ist um welche Source es sich handel. Die Kaffespende wurde lang vor der TTT und auch den eltacom abklatsch veröffentlicht mit dieser Lücke.

Fakt ist somit auch: Die Lücke besteht weder nur in der eltacom Source sondern kann in jeder anderen NV source auch bestehen die dieses Script nutzen. TTT-Source ist eine Zeit Source solltest du eigentlich wissen in der währe es wohl blödsinnig GB´s zu spenden... Da sind wir uns wohl einig oder.

Dann redest du von Entwickler Codex? Warum werden den Betroffenen Trackern dann keine Protokolle deinerseits mitgeteillt, um den Fehler zu finden? Das was du machst hat in meinen Augen rein garnichts mit Sicherheits Review zu tun, sondern reines Hacken!

Unterste Schublade ist somit auch Datenbanken hier zu Posten mit Userdaten, schlißlich babbelst du immer du willst die User schützen und legst dann ihr Daten offen, das passt wohl nicht oder?

Jedem User hier kann ich nur raten sich von diesem Board zu distanzieren. Ich habe auch noch nicht ein aussagekräftiges Review von dir gelesen, das fängt schon mit deinem Standart Firewall spruch an. Meinst du nur weil eine Firewall dich nicht gleich kickt ist sie Inaktiv? Das könnte ich so fortfahren aber belassen wir es dabei.

Aber in einem gebe ich dir Recht! Die Scene sollte wieder näher zusammenrücken. Und zwar alleine aus dem Grund deine Schickanen endlich zu beenden.

Jeder Tracker der hier ein Unsafe erhalten hat kann sich auch gerne bei mir Melden für die Hilfestellung um Ihren Tracker gegen diesen Laden hier abzusichern, das geht dann genausoschnell wie gestern mit dem FIX.

MfG T89 (Kannst mich dann für die Hilfe gerne wieder kicken wenn ich bock hab mache ich mir morgen nen neuen Account ;) )

Rebound
14.11.19, 21:43
Na herzlichen Glückwunsch T89, dass du es geschafft hast, dir einen neuen Account anzulegen. Wie man respektvoll kommuniziert hast du aber leider immer noch nicht kapiert.
Da hier nur noch sinnlose Hassbeiträge kommen schließe ich den Thread jetzt auch. Der einzige der es geschafft hat angemessen zu kommunizieren und konstruktive Beiträge zu schreiben ist Bluesteel. Das lässt tief blicken und untermauert meine vorherigen getroffenen Aussagen zum desolaten Zustand der deutschen Tracker-Szene.

Wir haben bisher übrigens jedem Tracker bei Sicherheitsproblemen geholfen. Ein respektvoller Umgangston und entsprechende Lernbereitschaft vorausgesetzt. Das werden viele bestätigen können. Einige Staffer von Trackern sind aber so lernresistent, dass sie bis heute nicht verstanden haben, wie man angemessen auch mit Personen kommunizieren kann dessen Ansichten und Meinungen man nicht vertritt. Die Staffer vom Tracker Bit-Titan sind da merkwürdigerweise ziemlich weit vorne. :P

Rebound
22.03.20, 20:17
Wir hatten bei uns 7 Tracker mit der "TTT-Source" identifiziert und deren Security-Reviews in einen unsichtbaren Bereich verschoben. Gemeldet auf diese Ankündigung haben sich bei uns genau 0 Tracker. Leider war es uns nur möglich bei einem Tracker auf die gefundene Lücke zu testen. Für die anderen Tracker hatten wir entweder keine Accounts, die Registrierung schlug fehl oder sie sind inzwischen offline.
Aus Sicherheitsgründen verzichten wir darauf diese Tracker namentlich zu nennen. Die betroffenen Tracker werden bei uns jetzt gar nicht mehr gelistet.

Falls die betroffenen Tracker wieder in unseren Security-Reviews gelistet werden möchten, müssen sie sich bei uns für einen Recheck melden.