[TYPO3-german] [TYPO3-UG Oesterreich] 4.5.29 erhebliche Sicherheitslücken?

Thu Aug 22 04:55:39 CEST 2013

Hi All

Interessant auf welche Werbe Ideen Agenturen (Silver Member) kommen. Sie
sprechen hier nur leider die falschen "Kunden" anderer Agenturen an, wuerde
ich mal sagen, denn wir haben mal kurzerhand bekannte Seiten gechecked und
oh Schreck, lediglich eine einzige - die http://typo3.org zeigte nichts an.

http://typo3.org/typo3_src/ChangeLog
http://typo3.org/typo3conf/ext/realurl/ChangeLog (nur als Beispiele)

Doch bei allen anderen kamen viele total veralteten extensions zum
Vorschein (d.h. bei einer weiteren war der ChangeLog des Cores redirected).
Wir haben zum Testen nur einmal einige der im T3blog gelisteten Seiten
genommen.

Ich persoenlich finde das schon recht einfach wie man moegliche Sicherheits
Luecken durch einen einfachen Vergleich der current Version und der in
typo3_src/ChangeLog bzw in typo3conf/ext/ext_xyz/ChangeLog herauslesen kann.

Ein einfaches script das die Seiten nach eben diesen Dateien durchforstet
und vergleicht und man hat einen TYPO3 Sicherheits Checker - wie er im
Grunde bisher nur von Joomla her bekannt war.

Da auf der TYPO3.org Webseite keine Infos dergleichen angezeigt werden
waere ich sehr daran interessiert zu erfahren wie man seine Webseiten so
sicherer machen kann! D.h wie man die Infos der Extensions und des Cores
verstecken kann - ohne alle infos loeschen zu muessen was ja auch eine
Moeglichkeit wäre.

Ebenso interessant waere jedoch auch eine Art Sicherheits Checker
(Script/Extension), wie es ihn ja fuer Joomla schon gibt und man seine
WebSeiten abfragen kann nach moeglichen Informationen die besser niemand
sehen sollte.

Bei unserem kurzem Test kam zum Vorschein dass die ueberwiegende Mehrheit
der Webseiten wohl nie Sicherheits oder Extension updates erfahren haben
nachdem sie dem Kunden uebergeben wurden. Egal ob Welt Organisation oder
nicht. Ich finde dies doch sehr bedenklich wenn man dann herauslesen kann
dass eine static_info_tables noch auf dem Stande vom 16 November 2007 ist
oder eine tt_news seit an beginn 2008 kein update mehr erfuhr. Erst recht
erschreckend ist es wenn man sieht wer die Seiten erstellt hat, da man es
hier wohl am wenigsten erwarten wuerde. Klar nicht jeder Kunde zahlt auch
fuer die Wartung von Webseiten nachdem er einmal eine hat.

---

Georg du hast recht mit dem Konzept, nur denke ich, dass die wenigsten
ueberhaupt sich darum kuemmern eine Seite auch fuer die Zukunft sicher zu
machen, wie unserer kleiner check gezeigt hat. Das mag einerseits an
Unwissen liegen oder auch eben an Bequemlichkeit

Welchen Weg wuerdest du denn vorschlagen um TYPO3 Webseiten auch fuer die
Zukunft abzusichern.

Ich denke hier zB auch an das Integrieren eines Update Checkers fuer
Extensions der dem KUNDEN mitteilt das da was an seiner Seite veraltet oder
gar sicherheitsrelevant ist. In Drupal erhaelt der Developer z.B. diese
Infos bereits beim Login. Nicht jedoch bei TYPO3.

Mit einem click kann dann die aktuelle Source eingespielt werden, entweder
alles zusammen oder nur das was gewuenscht wird.

In TYPO3 muss man hierzu erst den Extension Manager öffnen, dann den update
check durchfuehren und dann klick by click die Extensions updaten, was im
Vergleich zu dem Vorgehen von Drupal7/8 updates wesentlich laenger dauert!

Es gibt ja den Scheduler Task der das TER updated doch auch dieser muss
erst einmal eingerichtet werden. Im Hinblick auf Security wuerde ich diesen
als DEFAULT aktivieren und wer will kann ihn deaktivieren. Das Interesse
von typo3 sollte doch in erster Linie sein, dass auch die Extensions sicher
bleiben und nicht nur der Core, oder?

Andi

2013/8/22 Freddy Tripold <freddy.tripold at tlog.at>

> Danke euch allen für den Input...
>
>
> lg
> Freddy
>
> Freddy Tripold
> http://www.tlog.at
>
>
> "Wenn Du entdeckst, dass Du ein totes Pferd reitest, steig ab!"
> (Weisheit der Dakota-Indianer)
>
>
> Am 21.08.2013 17:45, schrieb Georg Ringer:
>
>  Hallo,
>>
>> nur um nochmal Input zu liefern. Warum sollte wer nicht wissen dass es
>> die 4.5.xx ist?
>>
>> Angenommen man ist auf der letzten sicheren Version unterwegs, dann
>> gibts e keine bekannte Sicherheitslücke.
>> Angenommen man ist aber auf einer unsicheren Version unterwegs, da
>> brauch ich keine ChangeLog.txt oder sonstwas weil da prüf ich einfach
>> direkt auf die Lücke und seh da sofort ob die Version unsicher ist oder
>> nicht.
>>
>> Dh lieber die Arbeit ins Konezpt stecken wie man schmerzfrei die Kunden
>> aktualisiert
>>
>> Georg
>>
> ______________________________**_________________
> TYPO3-german mailing list
> TYPO3-german at lists.typo3.org
> http://lists.typo3.org/cgi-**bin/mailman/listinfo/typo3-**german<http://lists.typo3.org/cgi-bin/mailman/listinfo/typo3-german>
>