[TYPO3-german] [TYPO3-UG Oesterreich] 4.5.29 erhebliche Sicherheitslücken?

Stephan Schuler Stephan.Schuler at netlogix.de
Tue Aug 20 21:10:52 CEST 2013 

Hallo Freddy.

Wer eine TYPO3-Sicherheitslücke findet wird gebeten, die vertraulich zu behandel und einerseits ausschließlich, andererseits aber unbedingt das Security-Team darüber zu informieren.

Die Diskussion von Sicherheitslücken über öffentliche TYPO3-Kanäle (zumindest bevor ein entsprechender Fix announced wurde) ist verboten.

Das Security-Team ist angehalten (die genaue harte Regelung musst du dann die Teammember fragen), diese Lücken selbst nicht weiter zu verbreiten, und insbesondere nicht zum eigenen Nutzen schon mal an seine Kunden.

Demmach kann ich mir nur drei Situationen vorstellen:

Entweder ist abaton.at über ein Security-Team-Member an eine noch nicht veröffentlichte Lücke gekommen. Dann gehört dieses Security-Team-Member rituell gevierteilt. Allerdings schließe ich das aus, das traue ich keinem Mitglied des Security-Teams zu.

Oder aber abaton.at ist im Besitz einer Lücke die dem Team noch nicht zugespielt wurde. In diesem Fall halte ich es für grob fahrlässig, das erst mal zum eigenen Vorteil zu nutzen und Kunden zu fangen, anstatt die Lücke dem Security-Team mitzuteilen und erst nach vorhandenem Fix zu handeln.

Oder aber abaton.at lügt hier einfach. Das halte ich für die wahrscheinlichste Variante.

Dein 4.5.29 ist zwar nicht mehr auf der Höhe der Zeit weil es die älteste supportete Version ist. Aber es ist eben nicht irgend eine beliebige Version sondern es ist der aktuelle Patch-Level der aktuellen LTS.

Zwar solltest du dir bei Gelegenheit Gedanken über einen Wechsel machen. Allerdings ist "End of Maintenance" für 4.5 der Oktober 2014. Du hast also noch grob ein Jahr Zeit und kannst dich darauf verlassen, dass gefundene Sicherheitslücken auch geschlossen werden.

Wenn du dich ganz enorm gestört fühlst, darfst du deine E-Mail sicher in Gänze inklusive verwendeter Kontaktdaten dem Security-Team weiterleiten. Die werden dir zwar auch nicht mehr sagen als ich, aber vielleicht fühlt sich einer von denen ja dazu berufen, dem Herrn Abaton mal nen förmlichen Brief zu schreiben.
http://typo3.org/teams/security/

Übrigens, mein Teamleiter, Andreas Förthner, sitzt da auch im Security-Team. Und außer "komm Morgen mal nicht all zu spät, vielleicht müssen wir spontan nen Patch einspielen" hat der mir noch nie gesagt. Geschweige denn Inhalte verraten.


Gruß,


Stephan Schuler
Web-Entwickler

Telefon: +49 (911) 539909 - 0
E-Mail: Stephan.Schuler at netlogix.de
Website: media.netlogix.de



--
netlogix GmbH & Co. KG
IT-Services | IT-Training | Media
Neuwieder Straße 10 | 90411 Nürnberg
Telefon: +49 (911) 539909 - 0 | Fax: +49 (911) 539909 - 99
E-Mail: info at netlogix.de | Internet: http://www.netlogix.de

netlogix GmbH & Co. KG ist eingetragen am Amtsgericht Nürnberg (HRA 13338)
Persönlich haftende Gesellschafterin: netlogix Verwaltungs GmbH (HRB 20634)
Umsatzsteuer-Identifikationsnummer: DE 233472254
Geschäftsführer: Stefan Buchta, Matthias Schmidt



________________________________________
Von: typo3-german-bounces at lists.typo3.org [typo3-german-bounces at lists.typo3.org]" im Auftrag von "Freddy Tripold [freddy.tripold at tlog.at]
Gesendet: Dienstag, 20. August 2013 20:44
An: typo3-german at lists.typo3.org
Betreff: [TYPO3-german] [TYPO3-UG Oesterreich] 4.5.29 erhebliche Sicherheitslücken?

Hallo Liste,

ich hab heute ein Mail zugeschanzt bekommen, das mich doch sehr erstaunt.
Laut diesem Mail der Firma abaton hat die Version 4.5.29 "erhebliche
Sicherheitslücken"!
Wissen "Association Member", worauf im Mail dezidiert hingewiesen wird,
mehr als wir anderen?
Oder ist das nur ein rotzfrecher Versuch um ahnungslose Kunden, die man
nach jahrelangem Kampf endlich von der Notwendigkeit der
Sicherheitsupdates überzeugt hat, abzuzocken oder will man damit den
Kunden nur einen gehörigen Schrecken versetzen? Nachdem bis Halloween
noch ein bißchen hin ist, schließe ich letzteres aus.
Nachfolgend auszugsweise das Mail, damit ihr eure Kunden schon mal
vorwarnen könnt ;-)


Sehr geehr...,



ich melde mich bei Ihnen betreffend Ihre Website ......



Wir - die Firma abaton EDV-Dienstleistungs GmbH <http://www.abaton.at/>
  - sind im Zuge unserer Recherche auf Ihre Website  ..... gestoßen und
haben festgestellt, dass Ihre bestehende Website nicht mehr zeitgemäß
und aktuell ist. Zudem setzen Sie derzeit ein TYPO3 CMS der Version 4.5
ein (aktuell: 4.5.29), welches mittlerweile erhebliche Sicherheitslücken
aufweist



Daher unsere Anfrage:

*       Haben Sie in letzter Zeit schon einmal über eine Update Ihres
TYPO3 CMS nachgedacht?
*       Oder ist gar ein Relaunch Ihrer Website für Sie eine denkbare
Option?
*       Möchten Sie mit uns ein solches Projekt planen und umsetzen?
*       Haben Sie Interesse mit einem der führenden Open Source &
TYPO3-Webentwickler in Österreich zusammenzuarbeiten?



Gerne bin ich auch für Rückfragen und Ihre Anliegen rund um Ihren
Web-Auftritt persönlich für Sie erreichbar. Sie erreichen mich unter den
u. a. Kontaktdaten.

................


P.S.: Wir sind derzeit eines von nur drei gelisteten, österreichischen
Unternehmen auf http://typo3.org/ und damit Ihr "Professional Services
Partner
<http://typo3.org/support/professional-services/show/abaton-edv-dienstleistungs-gmbh/>
"!

...................







--
Freddy Tripold
http://www.tlog.at


"Wenn Du entdeckst, dass Du ein totes Pferd reitest, steig ab!"
(Weisheit der Dakota-Indianer)

_______________________________________________
TYPO3-german mailing list
TYPO3-german at lists.typo3.org
http://lists.typo3.org/cgi-bin/mailman/listinfo/typo3-german

More information about the TYPO3-german mailing list