Sicherheitslücke in LiquidFeedback und OperationCleanUp | Projektleitung - Li... - 0 views
-
Mela Eckenfels on 27 May 11"In der Nacht vom 16. auf den 17. Mai 2011 wurde eine Sicherheitslücke der Software LiquidFeedback bekannt. Es ist der unverzüglichen Bekanntgabe durch den Entdecker Jens Wolfhard Schicke (Drahflow) und der schnellen Reaktion der Entwickler der Software LiquidFeedback sowie den Administratoren der Instanzen der Bundespartei und des Berliner LiquidFeedback-Servers zu verdanken, dass 20 Minuten nach Bekanntwerden der Lücke alle Systeme offline gingen und drei Stunden danach die Lücke geschlossen wurde. Bis zu diesem Zeitpunkt wäre es möglich gewesen, einen fremden Account mit bekanntem Loginnamen über die Passwortresetfunktion zu übernehmen, da der zur Bestätigung des Passwortresets nötige Code, der dabei per Mail verschickt wird, im System einsehbar war."