OSM steht als Abkürzung für Opensource Matters. Das ist der Verein rund um das Joomla! Projekt. Es vertritt als juristische Person die Interessen des Projekts. Der Vorstand dieses Vereins nennt sich «OSM Board of Directors». Diese treffen sich so ca. alle 14 Tage und besprechen die Dinge aus den verschiedenen Abteilungen (Departemente) des Joomla! Projekts.
Am Ende der Sitzung wird vom Sekretär eine Zusammenfassung in Form eines Protokolls (Meeting Notices) abgefasst und auf dem Volunteers-Portal veröffentlicht.
Das Protokoll ist immer in der gleichen Struktur abgefasst:
- Teilnehmer (anwesende und entschuldigte)
- Inforunde aus den verschiedenen Abteilungen
- Anträge und Beschlüsse
Häufig sind in diesen Protokollen, nebst dem konventionellen Tagesgeschäft auch immer wieder mal Themen drin, die von Interesse sein könnten.
Anhand eines Beispiels des aktuellen Protokolls aus der Sitzung vom 07. Mai 2020 zeige ich dir, was es alles an Themen zu besprechen gegeben hat. Ich habe aber nur einige davon herausgepickt, die aus meiner Sicht von Interesse waren:
Der Zug für das Marketing zur 4.1 ist abgefahren
Im Forum for the Future wurde wieder eine neue Marketing-Truppe zusammengestellt. Seither ist es wieder sehr ruhig um sie geworden. Das hat nun auch das Produktionsteam bemängelt und ist nicht länger bereit, auf Vorschläge und Antworten vom Marketingteam für die Version 4.1 zu warten. Sie bemühen sich jetzt selber um die Erstellung einer Zielgruppendefinition und anderen Marketingaufgaben. Der Zug für 4.1 sei jetzt abgefahren. Wenn es um die Diskussion zur 4.2 Version geht, sei man wieder für Vorschläge und Gespräche mit dem Marketingteam offen.
Untersuchung warum ein GitHub Repo gelöscht wurde
Weil auf GitHub ein komplettes Projekt gelöscht wurde, hat man diesen Fall untersucht. Das Privacy-Framework war ein Bestandteil, der dann mit Joomla! 3.9 in den Core ausgerollt wurde. Darin enthalten waren alle die DSGVO-relevanten Funktionen, die Joomla! 3.9. bekommen hat.
In einem ersten Schritt hat man die Admin-Zugänge gesperrt, von allen Personen die aufgrund ihrer aktuellen Rolle und Mitarbeit, diesen nicht mehr benötigen. Zudem stellte man fest, dass eine Wiederherstellung des Verzeichnisses nicht der Mühe wert ist.
Security Audit ergab gewisse Schwachstellen
So wie es in jeder grösseren Firma eigentlich an der Tagesordnung ist, ist es auch beim Joomla!-Projekt zu einem Sicherheits-Audit gekommen. Dabei werden die Prozesse, Abläufe, Infrastruktur und Software auf ihre Schwachstellen hin überprüft.
Dem OSM Vorstand wurde nun ein Bericht vom Webmasterteam vorgelegt, indem die verschieden Schwachstellen dokumentiert sind sowie Vorschläge an Sofortmassnahmen die gemacht werden sollten. Das Audit fand bei einem Portal folgende Punkte:
JRD von einer möglichen Datenpanne betroffen
Das Joomla Resources Directory, kurz: JRD ist von einer möglichen Datenpanne betroffen. Das Verzeichnis beherbergt einige hundert gelistete Agenturen und Spezialisten die mit Joomla! arbeiten. Beim Audit des Verzeichnisses wurden folgende Punkte bemängelt:
- Es wurde eine schwerwiegende Datenverletzung festgestellt: Organisatorische Daten werden an nicht autorisierten Orten gespeichert.
- Unerlaubter Dienst, der die verwendeten Daten möglicherweise verarbeiten kann.
- Backups werden nicht verschlüsselt.
- Personen von ausserhalb des Teams oder sogar von ausserhalb der Organisation haben administrativen Zugriff auf die Website.
Aufgrund einer Misskonfiguration des Backup-Systems wurden die Backup-Dateien an den falschen Ort kopiert. Dadurch besteht die Möglichkeit, dass eine unbekannte Person oder Firma in den Besitz dieser Backups gekommen ist. Darin enthalten sind alle Datenbanken und Verzeichnisse, die für einen Klon/Restore der Seite mit seinem gesamten Inhalt erforderlich sind. Da die Backups unverschlüsselt waren, können sie von Drittpersonen jederzeit verwendet und wiederhergestellt werden.
Aus dieser Erkenntnis wurden zwei Sofortmassnahmen beschlossen:
- Das betroffene Team wird als Ganzes auf «inoffiziell» herabgestuft.
- Alle Zugänge zu Websites und Daten dieses Teams werden gesperrt.
- Das Webmasterteam zusammen mit dem JSST Team werden die Seite wieder instand stellen.
Dem Board ist es bewusst, dass es sich hierbei um eine sehr harte Massnahme handelt. Aber in Anbetracht der Tragweite sei der Schritt dennoch angebracht Zurzeit wird der Fall genauer untersucht. Im Anschluss soll auch ein Bericht über die gewonnenen Erkenntnisse veröffentlicht werden.
Solltest du selber ein Konto beim JRD haben, empfehle ich dir jetzt schon mal das Passwort zu erneuern. Prüfe auch, ob du das dort verwendete Passwort allenfalls bei anderen Accounts verwendest. Dann bitte auch gleich alle anderen Konten mit einem neuen Passwort versehen. Für alle Fälle.
Soweit ganz grob zusammengefasst, was im Meeting besprochen wurde. Wie du siehst, kommt an einer solchen Sitzung schon einiges zusammen.
Findest du solche Infos spannend? Findest du, ich sollte hier mehr solche Protokolle übersetzen? Dann schreib mir gerne unten in die Kommentare, ob dich sowas interessiert.
