[TYPO3-german] Security Problem
Marcus Krause
marcus#exp2009 at t3sec.info
Fri Jun 5 09:25:22 CEST 2009
Hi!
Thomas Roediger schrieb am 06/04/2009 04:35 PM Uhr:
> Hi Mathias,
> an komme ich leider momentan nicht ran. Ansonsten ist das natürlich eine
> prima Idee, stimme ich voll zu. :)
> Gruß,
> Thomas
>
> Mathias Schreiber [wmdb >] schrieb:
>> Martin Holtz schrieb:
>>> Hi Thomas,
>>>
>>>> Die Frage ist jetzt: Hat jemand eine Idee, über welchen Weg das dort
>>>> rein gekommen sein kann, welche Extension für einen Fehler bekannt ist,
>>>> der es möglich macht beliebige Dateien oder speziell die localconf zu
>>>> modifizieren? Die Typo3-Version ist 4.1.10.
>>> Bitte frag mal bei security (at) typo3.org an.
Wir wurden mittlerweile kontaktiert.
>>> In der Regel sollten solche Dinge nicht zu öffentlich diskutiert werden,
>>> so lange nicht klar ist wo die Lücke ist bzw. diese nicht behoben ist.
>> In der Liste kannste eh nur raten, auf jeden Fall würd ICH mir massiv
>> sorgen machen, wenn irgendwer in meine localconf.php schreibt... :)
Nur zur Beruhigung:
Es kann diverse Ursachen geben für einen solchen Hack:
- TYPO3 nicht auf aktuellsten Stand (Sicherheitsrelevante Patches nicht
eingespielt)
- Schwachstellen in einer anderen Software (OS level, Web Applikationen)
- Install Tool aktiviert und zu einfaches Passwort
- mitgesniffte Passwörter (TYPO3 admin accounts)
- Malware verseuchter Client-Rechner der Passwörter mitschneidet
und/oder der Schadcode auf den Server kopiert
- Schwachstelle(n) in Extensions
- Schwachstelle(n) in TYPO3 Core
Derartige Reports erreichen das Security Team häufiger, wobei die
Ursache meist eben nicht TYPO3 ist. In meiner Zeit im Security Team gab
es lediglich eine Schwachstelle in TYPO3 Core die derartig ausgenutzt wurde.
Es erübrigt sich zu erwähnen, dass diese Schwachstelle
selbstverständlich mittlerweile gefixt wurde (im Rahmen eines Security
Bulletins).
Wer das zweifelhafte Vergnügen hat, einen Hack reporten zu müssen, darf
sich gerne folgenden Blog-Post zu Gemüte führen:
http://secure.t3sec.info/blog/post/2009/05/14/how-not-to-report-a-security-incident/
Wir würden es auch begrüßen, wenn solche Reports nicht zuerst in der
Mailingliste landen sondern direkt beim Security Team.
In der Mailingliste ist das ein Stochern im Heuhafen, im Security Team
sitzen fähige Leute die regelmäßig so etwas analysieren und im Falle des
Falles die notwendige Schritte (in Bezug auf TYPO3) unternehmen.
Nach dem Motto:
Lieber einen Report zuviel als einen zuwenig.
Sämtliche Daten werden vertraulich behandelt; Angst vor einer Blamage
oder schlechter Presse ist fehl am Platze!
Gruß,
Marcus.
--
TYPO3 Security blog: http://secure.t3sec.info/
More information about the TYPO3-german
mailing list