[TYPO3-german] [TYPO3-UG Oesterreich] 4.5.29 erhebliche Sicherheitslücken?

Thu Aug 22 11:35:55 CEST 2013

Hallo zusammen.

> (...) dass die wenigsten
> ueberhaupt sich darum kuemmern eine Seite auch fuer die Zukunft sicher zu
> machen
Ich empfinde es als meine Aufgabe als professioneller Dienstleister, meine Kunden darüber aufzuklären und ihnen die Notwendigkeit trotz der zwangsläufigen finanziellen Belastung vor Augen zu führen.
Das ist einer der Gründe, weshalb wir mit unseren Kunden nach abgeschlossenen Projekten entsprechende Supportverträge formulieren. Nicht weil wir uns Cashcows züchten wollen sondern weil klar ist, dass der Großteil unserer Kunden nicht in der Lage ist, selbständig entsprechende Zero-Day-Situationen zu erkennen und dann zu aktualisieren. Beispiele für Einbrüche in Webseiten aufgrund unzureichender Patchlevel gibt es viele. Und wenn man sich z.B. den cHash-Bug von vor drei Jahren ansieht gibt es auch alle Nase lang Lücken, für die ich lohnende Ziele über Googleanfragen finden kann und dann nur noch die Verbundbarkeit kurz verifizieren. Es ist also mitnichten so, dass ein Angreifer alle TYPO3-Installationen der Welt erst selbst runterladen und durchsuchen muss, einige Angreifbarkeiten sind ergoogelbar.
Tada, Argumentationskette geschlossen.
Dass TYPO3 ohne Veränderungen nicht konstant sicher bleibt dürfte jedem Kunden auch ohne Erklärung klar sein, und spätestens nach meinem Beispiel ist ihnen auch bewusst, dass man da am Ball bleiben muss.

Natürlich erfordert eine solche Aussage auch Gegenbeispiele für ähnlich gelagerte Lücken in anderen CMS und ggf. mal die eine oder andere Windows-Lücke, um Kunden nicht den falschen Eindruck eines grundsätzlich unsicheren Produkts zu geben, aber solche Marketingkleinigkeiten wisst ihr ja selbst.

Und nein, ich werde auch auf Nachfrage weder die cHash-Lücke weiter erörtern noch irgend eine andere. Die war damals schlimm genug, und nach wie vor glaube ich, dass deren öffentlicher Exploit keine gute Idee wäre.

> Welchen Weg wuerdest du denn vorschlagen um TYPO3 Webseiten auch fuer die
> Zukunft abzusichern
Um Himmels Willen, mach regelmäßig Updates. Komm bitte nicht auf die Idee, dass irgendetwas des hier gesagten dich davon entbinden oder dir bei deren Durchführung mehr Zeit verschaffen würde. Egal ob du hier verschleierst oder nicht, regelmäßige Updates spielst du bitte trotzdem ein, und Security-Announcements werden auch weiterhin möglichst in der Stunde des Announcements ausgerollt.

> Ich denke hier zB auch an das Integrieren eines Update Checkers fuer
Du denkst an so was wie EXT:Caretaker. Hat sich meiner Erfahrung nach nicht durchgesetzt. Niemand aktualisiert Powermail von x.y.z auf x.y.(z+1) mit Rechtschreibfixes, nur weil im Analysetool ein "dein Setup ist veraltet" steht.
Alle Updates machst du möglichst regelmäßig, und weil gerne mal kleinere Breaking-Changes kommen braucht das einen sinnvollen Zeitplan mit Testphase auf einem Testserver.
Security-Fixes kommen per E-Mail-Announcement. Nur wenn vorherige Updates eingespielt wurden kannst du sicher sein, dass das Security-Fix nicht noch fünf andere Dinge mit in den Tod reißt. Natürlich enthält das Fix nur Sicherheitsänderungen, aber wenn der Fix von 4.5.28 auf 4.5.29 ein Sicherheitsproblem behebt und du bislang ein System mit 4.5.11 rumstehen hast weil die zwischenliegenden 17 Fixes nur funktionale und für dich unwichtige hast du trotzdem einen größeren Sprung gemacht als notwendig.

Deshalb hier mein dringlicher Rat: Stell dir einen Zeitplan auf, einmal im Monat oder einmal im Quartal, an dem du die Setups aller deiner Kunden prüfst. Security-Fixes auf Zuruf.
Natürlich darfst du das abrechnen, ich hab jedenfalls noch keinen Kunden erlebt, der mir die Notwendigkeit dieses Vorgehens als unnötigen Unfug nicht unterschrieben hätte. Das ist entweder vorab als "Support nach Aufwand" geklärt oder Teil des pauschalen Hostings.

> Die Extension coreupdate [1] von Kay Strobach prüft bei Login nach Aktualität
> des Cores - auf Wunsch auch für Nicht-Admins.
Wie gerade erklärt: Da hat es meiner Ansicht nach aber nichts zu suchen. Es interessiert weder die Redakteure noch die Admins. Stell dir vor das Exchange-Update macht dich beim Outlook-Login auf sich aufmerksam. Dass es ggf. ein GUI oder ein API dafür geben sollte will ich nicht bestreiten. Aber der Welcome-Screen den sich Kunden vorstellen der sowas ja zeigen kann ist ungeeignet, sobald nur einer von 100 Redakteuren derjenige ist der auch das Update durchführen könnte.

Gruß,

Stephan Schuler
Web-Entwickler

Telefon: +49 (911) 539909 - 0
E-Mail: Stephan.Schuler at netlogix.de
Website: media.netlogix.de

--
netlogix GmbH & Co. KG
IT-Services | IT-Training | Media
Neuwieder Straße 10 | 90411 Nürnberg
Telefon: +49 (911) 539909 - 0 | Fax: +49 (911) 539909 - 99
E-Mail: info at netlogix.de | Internet: http://www.netlogix.de

netlogix GmbH & Co. KG ist eingetragen am Amtsgericht Nürnberg (HRA 13338)
Persönlich haftende Gesellschafterin: netlogix Verwaltungs GmbH (HRB 20634)
Umsatzsteuer-Identifikationsnummer: DE 233472254
Geschäftsführer: Stefan Buchta, Matthias Schmidt

-----Ursprüngliche Nachricht-----
Von: typo3-german-bounces at lists.typo3.org [mailto:typo3-german-bounces at lists.typo3.org] Im Auftrag von Michael
Gesendet: Donnerstag, 22. August 2013 06:32
An: ab.becker at web.de; German TYPO3 Userlist
Betreff: Re: [TYPO3-german] [TYPO3-UG Oesterreich] 4.5.29 erhebliche Sicherheitslücken?

On 2013-08-22 12:55, Andreas Becker wrote:

> Da auf der TYPO3.org Webseite keine Infos dergleichen angezeigt werden
> waere ich sehr daran interessiert zu erfahren wie man seine Webseiten
> so sicherer machen kann! D.h wie man die Infos der Extensions und des
> Cores verstecken kann [...]

Das Verstecken oder Verschleiern von Informationen schliesst keine Sicherheitsluecken. Ich investiere lieber meine Zeit dafuer zu sorgen, dass mein Core und die Extensions aktuell gehalten werden.

> Welchen Weg wuerdest du denn vorschlagen um TYPO3 Webseiten auch fuer
> die Zukunft abzusichern.

Das offizielle TYPO3 Security Guide lesen und befolgen:
http://docs.typo3.org/typo3cms/SecurityGuide/

Security Bulletins verfolgen und Updates einspielen, wenn erforderlich:
http://lists.typo3.org/cgi-bin/mailman/listinfo/typo3-announce

> Ich denke hier zB auch an das Integrieren eines Update Checkers fuer
> Extensions der dem KUNDEN mitteilt das da was an seiner Seite veraltet
> oder gar sicherheitsrelevant ist.

http://schams.net/nagios
(oder eines der verwandten Loesungen, siehe: "Similar Projects").

Noch ein paar weitere Links zu dem Thema:

http://en.wikipedia.org/wiki/Security_through_obscurity
http://stackoverflow.com/questions/533965/why-is-security-through-obscurity-a-bad-idea
http://slashdot.org/features/980720/0819202.shtml

Cheers
Michael

_______________________________________________
TYPO3-german mailing list
TYPO3-german at lists.typo3.org
http://lists.typo3.org/cgi-bin/mailman/listinfo/typo3-german