[TYPO3-german] [TYPO3-UG Oesterreich] 4.5.29 erhebliche Sicherheitslücken?

Andreas Becker ab.becker at web.de
Thu Aug 22 14:12:35 CEST 2013 

Hi Stephan

Danke fuer deine sehr ausfuehrliche Erklärung.

Bei uns sind TYPO3 Sicherheits Updates auch in unsere TYPO3 Hosting Paket
integriert solange der Kunde mit uns hostet. Sicherheitsupdates des Cores
sind schnell eingespielt und ebenso auch die Sicherheits updates von
Extensions die wir installiert haben beim Kunden. Fuer den Rest muss der
Kunde einen Support Vertrag abschließen.

Ich stimme Jochen zu das eine Extension wie coreupdate in den Core gehoert
und bei default aktiviert ist. Wir alle die mit TYPO3 arbeiten sollten
eigentlich ein Interesse haben das solche Sicherheits Updates nicht unter
den Tisch gekehrt werden und aus eigener Erfahrung kann ich sagen dass
Kunden auch dann mal nachhaken und fragen ob ein update bereits eingespielt
wurde. Er ist selber wesentlich mehr an der Sicherheit fuer seine Seite
interessiert.

Das das nichts dort zu suchen hat bei den Webseite Betreibern sehe ich
leider anders. Erst recht nach unserem kurzen Test mehrerer von
u.a.Platinum Members erstellten Seiten. Nun weiss ich dass einige dieser
Seiten von den Inhouse Mitarbeitern der Welt Organisationen betreut werden.
Mir scheint jedoch, dass diese keinerlei Schulungen mehr erhielten oder
schlichtweg Angst haben in ein running System einzugreifen. Das dort jedoch
Extensions in Betrieb sind die seit 2008 nicht mehr upgedated wurden und
die erhebliche Sicherheits Luecken aufweisen stimmt mich schon sehr
bedenklich.

In Drupal werden Admin User ueber updates und sicherheits Luecken
informiert und das hat sich IMHO sehr bewaehrt und updates sind sehr
schnell eingespielt selbst von Laien die ihre Seite selber maintainen seit
Drupal7.

Selbst wenn ein Kunde von uns zu einem anderen Provider wechselt schauen
wir hin und wieder vorbei - auch um zu sehen wie sich die Seite dort macht
- und auch hier muessen wir immer wieder feststellen, dass
Sicherheitsupdates nicht eingespielt werden und die Seiten im Grunde auf
dem Sicherheitsstand von der Uebergabe stehen bleiben.

Informieren wir dann die Website Betreiber darueber, sind diese meist recht
erschrocken - zu recht wie ich meine!

Nun gab es ja den Schaeuble Hack und parallele Hacks, wo u.a. ein deutscher
Fussballer auf einer Seite als der neue Direktor einer Weltorganisation
vorgestellt wurde. Damals wurden die DB Infos aus der Localconf ausgelesen
- bevor - das Sicherheits update veroeffentlicht wurde, das dann auch
unverzueglich eingespielt wurde. Doch die Angreifer probierten dann noch 5
Tage hartnaeckig herum um dann schliesslich einen anderen Zugang zur DB die
nicht in unserem Verantwortungsbereich lag zu finden und dort gezielt dann
deren gewuenschten Aenderungen auf der Hauptseite einpflegten. Fuer uns
stellte sich damals die Frage wer eigentlich von den Lücken weiss? und wie
diejenigen die die Sicherheit ueberpruefen, ueberprueft werden? Mit Ethik
oder einer Christlichen Allianz an Gutglaeubigkeit ist es hierbei sicher
nicht getan!

IMHO sollten eigentlich alle Agenturen ein Interesse haben das der hohe
Sicherheitsstandard von TYPO3 nicht durch solche einfachen Checks und
dadurch dann ermoeglichte oder motivierte Hacks gefährdet werden.

Daher noch einmal die Frage wie es auf typo3.org gemacht wurde, dass dort
keine dieser Informationen sichtbar sind. Ich denke das ist doch zumindest
einmal eine Loesung um den Angreifern nicht gleich alles auf dem silbernen
Tablett zu präsentieren.

ein http://website.tld/typo3conf/ext/extensionname/ChangeLog
finde ich wirklich etwas zu einfach fuer Eindringlinge.

Zudem hoffe ich, dass nun alle die Seiten im
http://t3blog.comveroeffentlicht haben, sich nunmehr mal hinsetzen und
diese Seiten auf den
aktuellen Stand der Sicherheit bringen. Das sollen ja Beispiele fuer gute
Webseiten sein und nicht ein gefundenes Fressen fuer Hacker, oder?

Jeder Hack einer TYPO3 Seite schadet im Grunde nicht nur demjenigen dessen
Seite gehaked wurde, sondern auch uns allen die den Kunden ja ein sicheres
System verkaufen wollen, ohne ueber diese offenkundlichen Mängel
hinwegschweigen zu müssen.



Andi











2013/8/22 Stephan Schuler <Stephan.Schuler at netlogix.de>

> Hallo zusammen.
>
>
> > (...) dass die wenigsten
> > ueberhaupt sich darum kuemmern eine Seite auch fuer die Zukunft sicher zu
> > machen
> Ich empfinde es als meine Aufgabe als professioneller Dienstleister, meine
> Kunden darüber aufzuklären und ihnen die Notwendigkeit trotz der
> zwangsläufigen finanziellen Belastung vor Augen zu führen.
> Das ist einer der Gründe, weshalb wir mit unseren Kunden nach
> abgeschlossenen Projekten entsprechende Supportverträge formulieren. Nicht
> weil wir uns Cashcows züchten wollen sondern weil klar ist, dass der
> Großteil unserer Kunden nicht in der Lage ist, selbständig entsprechende
> Zero-Day-Situationen zu erkennen und dann zu aktualisieren. Beispiele für
> Einbrüche in Webseiten aufgrund unzureichender Patchlevel gibt es viele.
> Und wenn man sich z.B. den cHash-Bug von vor drei Jahren ansieht gibt es
> auch alle Nase lang Lücken, für die ich lohnende Ziele über Googleanfragen
> finden kann und dann nur noch die Verbundbarkeit kurz verifizieren. Es ist
> also mitnichten so, dass ein Angreifer alle TYPO3-Installationen der Welt
> erst selbst runterladen und durchsuchen muss, einige Angreifbarkeiten sind
> ergoogelbar.
> Tada, Argumentationskette geschlossen.
> Dass TYPO3 ohne Veränderungen nicht konstant sicher bleibt dürfte jedem
> Kunden auch ohne Erklärung klar sein, und spätestens nach meinem Beispiel
> ist ihnen auch bewusst, dass man da am Ball bleiben muss.
>
> Natürlich erfordert eine solche Aussage auch Gegenbeispiele für ähnlich
> gelagerte Lücken in anderen CMS und ggf. mal die eine oder andere
> Windows-Lücke, um Kunden nicht den falschen Eindruck eines grundsätzlich
> unsicheren Produkts zu geben, aber solche Marketingkleinigkeiten wisst ihr
> ja selbst.
>
> Und nein, ich werde auch auf Nachfrage weder die cHash-Lücke weiter
> erörtern noch irgend eine andere. Die war damals schlimm genug, und nach
> wie vor glaube ich, dass deren öffentlicher Exploit keine gute Idee wäre.
>
> > Welchen Weg wuerdest du denn vorschlagen um TYPO3 Webseiten auch fuer die
> > Zukunft abzusichern
> Um Himmels Willen, mach regelmäßig Updates. Komm bitte nicht auf die Idee,
> dass irgendetwas des hier gesagten dich davon entbinden oder dir bei deren
> Durchführung mehr Zeit verschaffen würde. Egal ob du hier verschleierst
> oder nicht, regelmäßige Updates spielst du bitte trotzdem ein, und
> Security-Announcements werden auch weiterhin möglichst in der Stunde des
> Announcements ausgerollt.
>
> > Ich denke hier zB auch an das Integrieren eines Update Checkers fuer
> Du denkst an so was wie EXT:Caretaker. Hat sich meiner Erfahrung nach
> nicht durchgesetzt. Niemand aktualisiert Powermail von x.y.z auf x.y.(z+1)
> mit Rechtschreibfixes, nur weil im Analysetool ein "dein Setup ist
> veraltet" steht.
> Alle Updates machst du möglichst regelmäßig, und weil gerne mal kleinere
> Breaking-Changes kommen braucht das einen sinnvollen Zeitplan mit Testphase
> auf einem Testserver.
> Security-Fixes kommen per E-Mail-Announcement. Nur wenn vorherige Updates
> eingespielt wurden kannst du sicher sein, dass das Security-Fix nicht noch
> fünf andere Dinge mit in den Tod reißt. Natürlich enthält das Fix nur
> Sicherheitsänderungen, aber wenn der Fix von 4.5.28 auf 4.5.29 ein
> Sicherheitsproblem behebt und du bislang ein System mit 4.5.11 rumstehen
> hast weil die zwischenliegenden 17 Fixes nur funktionale und für dich
> unwichtige hast du trotzdem einen größeren Sprung gemacht als notwendig.
>
> Deshalb hier mein dringlicher Rat: Stell dir einen Zeitplan auf, einmal im
> Monat oder einmal im Quartal, an dem du die Setups aller deiner Kunden
> prüfst. Security-Fixes auf Zuruf.
> Natürlich darfst du das abrechnen, ich hab jedenfalls noch keinen Kunden
> erlebt, der mir die Notwendigkeit dieses Vorgehens als unnötigen Unfug
> nicht unterschrieben hätte. Das ist entweder vorab als "Support nach
> Aufwand" geklärt oder Teil des pauschalen Hostings.
>
> > Die Extension coreupdate [1] von Kay Strobach prüft bei Login nach
> Aktualität
> > des Cores - auf Wunsch auch für Nicht-Admins.
> Wie gerade erklärt: Da hat es meiner Ansicht nach aber nichts zu suchen.
> Es interessiert weder die Redakteure noch die Admins. Stell dir vor das
> Exchange-Update macht dich beim Outlook-Login auf sich aufmerksam. Dass es
> ggf. ein GUI oder ein API dafür geben sollte will ich nicht bestreiten.
> Aber der Welcome-Screen den sich Kunden vorstellen der sowas ja zeigen kann
> ist ungeeignet, sobald nur einer von 100 Redakteuren derjenige ist der auch
> das Update durchführen könnte.
>
>
> Gruß,
>
>
>
> Stephan Schuler
> Web-Entwickler
>
> Telefon: +49 (911) 539909 - 0
> E-Mail: Stephan.Schuler at netlogix.de
> Website: media.netlogix.de
>
>
>
> --
> netlogix GmbH & Co. KG
> IT-Services | IT-Training | Media
> Neuwieder Straße 10 | 90411 Nürnberg
> Telefon: +49 (911) 539909 - 0 | Fax: +49 (911) 539909 - 99
> E-Mail: info at netlogix.de | Internet: http://www.netlogix.de
>
> netlogix GmbH & Co. KG ist eingetragen am Amtsgericht Nürnberg (HRA 13338)
> Persönlich haftende Gesellschafterin: netlogix Verwaltungs GmbH (HRB 20634)
> Umsatzsteuer-Identifikationsnummer: DE 233472254
> Geschäftsführer: Stefan Buchta, Matthias Schmidt
>
>
>
> -----Ursprüngliche Nachricht-----
> Von: typo3-german-bounces at lists.typo3.org [mailto:
> typo3-german-bounces at lists.typo3.org] Im Auftrag von Michael
> Gesendet: Donnerstag, 22. August 2013 06:32
> An: ab.becker at web.de; German TYPO3 Userlist
> Betreff: Re: [TYPO3-german] [TYPO3-UG Oesterreich] 4.5.29 erhebliche
> Sicherheitslücken?
>
> On 2013-08-22 12:55, Andreas Becker wrote:
>
> > Da auf der TYPO3.org Webseite keine Infos dergleichen angezeigt werden
> > waere ich sehr daran interessiert zu erfahren wie man seine Webseiten
> > so sicherer machen kann! D.h wie man die Infos der Extensions und des
> > Cores verstecken kann [...]
>
> Das Verstecken oder Verschleiern von Informationen schliesst keine
> Sicherheitsluecken. Ich investiere lieber meine Zeit dafuer zu sorgen, dass
> mein Core und die Extensions aktuell gehalten werden.
>
> > Welchen Weg wuerdest du denn vorschlagen um TYPO3 Webseiten auch fuer
> > die Zukunft abzusichern.
>
> Das offizielle TYPO3 Security Guide lesen und befolgen:
> http://docs.typo3.org/typo3cms/SecurityGuide/
>
> Security Bulletins verfolgen und Updates einspielen, wenn erforderlich:
> http://lists.typo3.org/cgi-bin/mailman/listinfo/typo3-announce
>
> > Ich denke hier zB auch an das Integrieren eines Update Checkers fuer
> > Extensions der dem KUNDEN mitteilt das da was an seiner Seite veraltet
> > oder gar sicherheitsrelevant ist.
>
> http://schams.net/nagios
> (oder eines der verwandten Loesungen, siehe: "Similar Projects").
>
> Noch ein paar weitere Links zu dem Thema:
>
> http://en.wikipedia.org/wiki/Security_through_obscurity
>
> http://stackoverflow.com/questions/533965/why-is-security-through-obscurity-a-bad-idea
> http://slashdot.org/features/980720/0819202.shtml
>
>
> Cheers
> Michael
>
> _______________________________________________
> TYPO3-german mailing list
> TYPO3-german at lists.typo3.org
> http://lists.typo3.org/cgi-bin/mailman/listinfo/typo3-german
> _______________________________________________
> TYPO3-german mailing list
> TYPO3-german at lists.typo3.org
> http://lists.typo3.org/cgi-bin/mailman/listinfo/typo3-german
>

More information about the TYPO3-german mailing list