Veiligheid TYPO3 zeer groot

Bij de selectie van opensource content management systemen komen we al snel in aanraking met andere systemen als Drupal, eZ Publish en Joomla. Als gecertificeerd TYPO3 bedrijf plaatsen wij TYPO3 altijd bovenaan als meest superieure systeem. Niet alleen qua functionaliteit, maar ook qua veiligheid is TYPO3 de betere keuze. Onderstaande tabellen onderstrepen dit. In de eerste twee tabellen wordt het aantal veiligheidsproblemen weergegeven per jaar (2008 en 2009) die van toepassing zijn op de applicatie (dus niet mogelijke third-party applicaties). De aantallen zijn hiermee puur kwantitatief en zeggen vrij weinig over het soort en de zwaarte van het veiligheidsprobleem.

2008
Drupal	eZ Publish	Joomla	TYPO3
11	4	10	3
SA-2008-005	EZSA-2008-001	CVE-2008-1533	TYPO3-20080611-1
SA-2008-006	EZSA-2008-002	CVE-2008-5671	TYPO3-20081113-1
SA-2008-007	EZSA-2008-003	CVE-2008-3225	TYPO3-20081113-2
SA-2008-018	EZSA-2008-004	CVE-2008-3681
SA-2008-026		20080901
SA-2008-044		20080902
SA-2008-046		20080903
SA-2008-047		20080904
SA-2008-060		20081101
SA-2008-067		20081102
SA-2008-073

2009
Drupal	eZ Publish	Joomla	TYPO3
6	3	7	2
SA-CORE-2009-001	EZSA-2009-001	20090101	TYPO3-SA-2009-001
SA-CORE-2009-003	EZSA-2009-002	20090102	TYPO3-SA-2009-002
SA-CORE-2009-004	EZSA-2009-003	20090301
SA-CORE-2009-005		20090302
SA-CORE-2009-006		20090601
		20090602
		20090603

Common Vulnerability Scoring System

Dezelfde gegevens bekijken we vervolgens via de Common Vulnerability Scoring System (CVSS). De CVSS is een industriestandaard waarmee op basis van vooraf bepaalde meeteenheden het risico wordt ingeschaald van een beveiligingsprobleem. De eenheden zijn gerangschikt op een schaal van 1 tot 10. Hoe lager het getal, hoe lager de ernst van het veiligheidsprobleem. In de onderstaande afbeelding wordt de ernst van de score aangegeven. De uiteindelijke totaalsom die onderaan de tabel staat, geeft uiteindelijk de mate van veiligheid aan van de content management systemen uit dit onderzoek.

Hieronder hebben we de CVSS scores van alle veiligheidsproblemen neergezet. Helaas is van Ez Publish geen CVSS score bekend. Ook over 2009 zijn er nog geen gegevens beschikbaar.

CVSS v2 Base Score 2008
Drupal	eZ Publish	Joomla	TYPO3
167.2	- / -	53.5	19.4
4.3	geen score bekend	5.0	6.5
4.3		7.5	4.3
2.6		10.0	4.3
3.5		7.5	4.3
4.3		7.5
6.4		7.5
4.3		5.0
5.0		3.5
6.8
4.3
7.5
7.5
4.3
3.5
6.5
5.8
5.8
5.5
5.0
6.0
6.0
6.0
6.0
7.5
3.5
9.3
7.5
6.4
4.3
7.5

CVSS v2 Base Score 2009
Drupal	eZ Publish	Joomla	TYPO3
36	- / -	31,5	36,1
3.5	geen score bekend	7.5	4.3
9.3		4.3	5.0
6.8		4.3	10.0
4.3		4.3	4.3
4.3		2.6	7.5
4.3		3.5	5.0
3.5		5.0

Conclusie

We zien in de bovenstaande tabellen dat TYPO3 de minste security issues had over het jaar 2008. In totaal zijn er slechts 3 issues geweest. Drupal en Joomla blijken met name in 2008 een groot aantal issues te hebben gehad. In 2009 zien we wederom grote verschillen tussen de paketten.

Als we vervolgens kijken naar de kwalitatieve kant van de veiligheidsproblemen, dan is het gebruik van het Common Vulnerability Scoring System bij uitstek een goede methode. Ook hieruit blijkt dat TYPO3 zeer goed scoort in tegenstelling tot Drupal en Joomla in 2008. In 2009 (gemeten tot juni 2009) blijkt dat de drie pakketten niet veel verschillen.

Bronnen:

getallen 2008 via: http://secure.t3sec.info/comparison/ en http://web.nvd.nist.gov/

getallen 2009 via: http://web.nvd.nist.gov/

* enige correctie bij de getallen van Joomla heeft plaatsgevonden.