JQuery-Sicherheitslücke nach Prüfung entdeckt

[PokeSiMon]

Das ist euch vielleicht völlig klar, leider habe ich damit keine Erfahrung, also helft mir bitte, dieses Problem zu verstehen und zu beheben.

Ich habe hier bei der Arbeit eine Prüfung durchgeführt und dabei wurde festgestellt, dass ein „Webserver“ auf einem Gerät in unserem Netzwerk JQuery 1.2 verwendet

Dies ist offenbar ein Sicherheitsproblem und die Prüfer möchten, dass ich es auf mindestens 3.5.0 aktualisiere. Ich dachte, das wäre nur eine einfache Update-Sache, etwa wenn Sie eine neue Java-Version benötigen – einfach das Update installieren, fertig. Nach einigem Googeln scheint dies nicht der Fall zu sein....

Soweit ich weiß, muss ich die Software finden, die JQuery 1.2 verwendet, und sie dann irgendwie manuell aktualisieren und testen. Leider habe ich keine Ahnung, wie das geht, und bei dem betreffenden Gerät handelt es sich um eine Maschine, bei der ich Ärger bekomme, weil ich etwas kaputt mache, wenn etwas schief geht. Ich weiß nicht, wofür jquery verwendet wird, ob es für den Betrieb der Maschine usw. von entscheidender Bedeutung ist. Die Prüfer bestehen jedoch darauf, dass dies behoben wird.

Lasst mich also bitte wissen, was hier zu tun ist und wie ich es erledigen kann, ohne dass ich über solche Dinge Bescheid weiß. Ich habe zwar viele Jahre Erfahrung in der IT-Branche, aber im Außendienst, nicht in der Entwicklung :-(

Bitte helfen Sie mir – und vielen Dank für Ihre Zeit!

 

[chr1zZo]

Wenn die Software aber mit dem neuen JQuery nicht klar kommt, was dann?

Mal was von Risikomanagement/Risikoanalyse gehört? Man muss dort prüfen, welche Zugriffe die Software überhaupt hat, die das alte JQuery nutzt! Ist diese Anwendung massiv relevant?

Wer sind denn die Prüfer? Auf welchen Bezug hat die Prüfung von dir denn eine Relevanz?

jQuery ist eine JavaScript-Bibliothek, die Webentwicklern die Arbeit mit JavaScript erleichtern soll.

 

[NameHere]

Das ist einiges an Arbeit und muss mit jquery-migrate gemacht werden und die ganzen Scripte die darauf zugreifen umgeschrieben werden.
Das sollte jemand machen der sowas täglich macht, sonst funktioniert der ganze Spaß dann gar nicht mehr.

 

[Raijin]

bei dem betreffenden Gerät handelt es sich um eine Maschine, bei der ich Ärger bekomme, weil ich etwas kaputt mache, wenn etwas schief geht. Ich weiß nicht, wofür jquery verwendet wird, ob es für den Betrieb der Maschine usw. von entscheidender Bedeutung ist. Die Prüfer bestehen jedoch darauf, dass dies behoben wird.

Im Zweifelsfalle musst du dich an den Hersteller der Maschine wenden und diesen dazu auffordern, sein System mit den nötigen Updates zu versorgen. Das kann und wird mit ziemlicher Sicherheit Geld kosten, aber wenn du selbst sagst, dass du keine Ahnung davon hat was wie wo in der Maschine überhaupt das Problem verursacht, bist du mutmaßlich nicht derjenige, der sich des Problems annehmen sollte. Das soll nicht gegen dich gehen, sondern ist eine generelle Anmerkung. Ich bin beispielsweise bei einem Hersteller von Industriemaschinen tätig und habe auch regelmäßig damit zu tun, dass Kunden eigenmächtig in den Programmen rumfummeln, die Schaltschränke umbasteln und sonst was. Na klar, sie haben das mal gekauft und so, aber diese unsachgemäßen Umbauten führen sehr häufig zu Fehlern und kosten am Ende sogar mehr Geld als wenn die Änderungen von Anfang an bei uns in Auftrag gegeben worden wären. Denn plötzlich müssen wir einen Monteur rausschicken, weil wir gar nicht mehr wissen was wie und wo umgebastelt wurde und dies via Remote Service auch nicht zu ermitteln ist. Flugkosten, Übernachtung, Mietwagen, Arbeitszeit und im Zweifelsfalle dasselbe nochmal für weitere nötige Besuche oder weiteres Personal. Eine Milchmädchenrechnung.

 

[netzgestaltung]

Wenn du in einer Testumgebung jQuery aktualisierst, siehst du dann auf allerlei Seiten diverse Javascript-Fehlermeldungen. Die zeigen dir, wo handlungsbedarf steckt. Meistens sind das veraltete funktionsaufrufe wie beispielsweise .live() - da muß oft die einfache Logik etwas angepasst werden. Ich hab das schon ein paar mal gemacht, als WP seine jQuery Version erneuerte und diverse Plugins etwas länger fürs updaten benötigten.

 

[phm666]

Hmm, das zu aktualisieren wird nicht einfach. Die API von JQuery 1.2 ist ja jetzt schon über 15 Jahre alt. Wenn kann man nur Schritt für Schritt durch die Versionen updaten. Das sollte aber auch jemand tun, der mit Webentwicklung etwas Ahnung hat, da sonst nachher nix mehr geht. Was ich mich Frage: Funktioniert überhaupt noch alles? so ne alte Version hat auf aktuellen Browsern doch sicher schon einiges an funktionalen Problemen.

etwa wenn Sie eine neue Java-Version benötigen

Auch da ist es nicht so einfach, da die API sich ändert. Nicht alles was Java 7 braucht, läuft auch automatisch auf Java 17.

 

[jb_alvarado]

Wie @chr1zZo auch schon geschrieben hat, würde ich erst mal genauer analysieren was das Problem ist und ob ihr überhaupt davon betroffen seit.

Ich weiß nicht was für einen Test du gemacht hast, aber wenn das ein etwas Allgemeinerer ist, der einfach im Netzwerk JQuery 1.2 gefunden hat und nur wegen der Version Alarm schlägt, ist das noch nicht viel wert. Nutzt die Maschine Funktionen die von Sicherheitslücken betroffen sind, und sind diese in eurem Umfeld relevant?

Hat derjenige Ahnung von der Materie, der sagt die Library muss upgedatet werden? Oder sagt er das nur, weil er den Bericht gesehen hat und überreagiert?

Je nach Maschine, wo vielleicht noch Menschen dran arbeiten, würde ich mir dreimal überlegen an der Software rum zu hantieren.

 

[NameHere]

hier mal schauen was genau betroffen ist

jquery vulnerabilities​

https://security.snyk.io/package/npm/jquery

 

[Kano]

Erstmal allgemeines: jQuery ist eine Frontend Library, welche für den Entwickler die Arbeit im DOM vereinfacht. Bis vor ein paar Jahren hatte das fast jede Website im Einsatz, mittlerweile nutzt man aber eher Component Libraries wie React und Angular.

Das bedeutet erstmal, das nicht der Server selbst über eine veraltete Version angegriffen werden kann sondern nur der Benutzer, der die Website im Webbrowser aufruft, beispielsweise über XSS. Wenn das nur eine einfache in sich geschlossene Website ist, auf der nur ein eingeschränkter Personenkreis Zugriff benötigt würde ich vermutlich erstmal gar nix machen sondern einfach vorerst ein minimales Risiko akzeptieren und möglicherweise Zugriffe einschränken.

Updaten sollte der Hersteller/Entwickler der Software, da vermutlich weite Teile der Anwendung für die neue jQuery Version fit gemacht werden müssen.

Wenn jQuery nur sehr sparsam eingesetzt wurde könnte es tatsächlich ausreichen die Version auszutauschen und alles funktioniert wie vorher. Da es eine sehr alte Version ist vermute ich, dass kein Bundler im Einsatz ist. Man müsste also herausfinden woher er jQuery lädt und die Version ersetzen. Dazu müsstest du die HTML Dateien durchgehen, nach einem <script src=„…“ /> Tag mit der alten Version suchen und mit dem Link zu einer aktuellen jQuery Version ersetzen. Würde ich aber nicht empfehlen und ist auch alles andere als professionelles Arbeiten.