[TYPO3-UG Dutch] Upgrades TYPO3: nieuwe informatie

[Jigal van Hemert]

Hoi,

Sander Vogels wrote:
> Ik som de kritische lekken nog eens op: "Cross-Site Scripting (XSS), 
> Open Redirection, SQL Injection, Broken Authentication and Session 
> Management, Insecure Randomness, Information Disclosure and Arbitrary 
> Code Execution."
> Kortom een heel pallet aan mogelijkheden om je server binnen te dringen, 
> databases leeg te halen, gebruikersgegevens te bemachtigen (FE & BE) enz.

Heel kort door de bocht. Gelukkig is het security team iets 
genuanceerder [1].

Cross-Site Scripting.
Hierbij is een geldige BE login nodig. Oftewel de admins en redacteuren 
kunnen het misbruiken. Dit lijkt mij al erg onwaarschijnlijk en anders 
zal een ontslagprocedure met eis tot schadevergoeding voor de hand liggen.

Open Redirection
Geen nadere details bekend (en ik heb dit weekend geen tijd om het voor 
deze discussie na te zoeken).

SQL Injection
Alleen te misbruiken door een redacteur met rechten om records te 
bewerken die een speciale 'where' query defintie hebben of records die 
een autosearch functie gebruiken.
Die redacteur hadden we in het eerste punt al ontslagen ;-)

Arbitrary Code Execution
Daar hebben we een redacteur voor nodig die .phtml scripts gaat 
uploaden. Inmiddels is die vent (m/v) al twee keer ontslagen...

Information Disclosure
Hiervoor is een kapotte extensie nodig, waarna het complete pad naar de 
webroot wordt weergegeven. (Geen commentaar)

Information Disclosure/ Cross-Site Scripting
Hiervoor is een admin login nodig. Dat zijn dus de mensen die de site 
hebben gebouwd, BE accounts beheren, etc.

Insecure Randomness
Deze staat al op 'very low', maar het gaat over de mate van 
willekeurigheid in een bepaalde PHP functie.

Spam Abuse
Dit betreft het form element, dat al heel lang dit probleem vertoont. 
Heel vaak wordt dit al vervangen door PowerMail of een andere extensie.

Header Injection
Alleen een ernstiger probleem als je met PHP versies lager dan 4.4.2 / 
5.1.2. werkt. De meeste hosters zijn al over naar 5.2.x dus is er alleen 
iets te doen met de mime type van de download. En dan is het 'irritant', 
maar geen gevaar meer te noemen.

Open Redirection, Cross-Site Scripting in felogin
Dit is een lastig probleem, maar de update heeft ervoor gezorgd dat er 
redirect problemen zijn met het inloggen. Beetje lastig te beslissen wat 
je wilt.

Insecure Randomness in felogin
Dit betreft het probleem dat gedurende een beperkte tijd een brute force 
attack mogelijk is op de link die is gemaakt voor het wijzigen van een 
wachtwoord.

Broken Authentication and Session Management
Een bestaande sessie kan overgenomen worden. Maar ja, we verwijderen 
toch allemaal de Install Tool Enable file netjes? Niets te vrezen als 
hij niet geactiveerd is...

Cross-site scripting in Fluid
Alleen in sommige textarea's als je natuurlijk een extensie gebruikt die 
fluid gebruikt...

Information Disclosure in Mailing API
Het versienummer zit in de mail header.

Cross-site scripting in Introduction package
In de searchbox is XSS mogelijk. We hebben natuurlijk allemaal de 
introduction package in gebruik als site?

> Daar tegenover staat inderdaad dat na het upgraden een aantal zaken niet 
> meer goed werken, waaronder overigens weinig FE functionaliteit. 

Ach, redirects in de login box die niet goed werken is niet zo'n probleem?

> Bovendien, als je site gekraakt wordt werkt ie ook niet meer en dat is 
> maar zo gebeurd.

Ik wil de problemen zeker niet bagatelliseren, maar je moet ook niet van 
een mug een olifant maken! Zelfs met de "severity: high" bugs is het 
geen kinderspel om "je server binnen te dringen" of "databases leeg te 
halen". Zo lek is TYPO3 nu ook weer niet en paniek zaaien lijkt me niet 
wenselijk.

Met de wetenschap dat er lastige problemen zijn in de upgrades zal ieder 
voor zich het security bulletin moeten doorlezen om te beoordelen of de 
upgrade nu noodzakelijk is of dat de bugs dusdanig lastig zijn dat 
enkele dagen wachten geen problemen zal geven.

http://typo3.org/teams/security/security-bulletins/typo3-sa-2010-012/

-- 
Jigal van Hemert