[TYPO3-german] EXT: mysqldumper
Sebastian Böttger
sebastian.boettger at gmail.com
Fri Jul 13 16:49:52 CEST 2007
Hi Elmar, Björn
Wenn ich es richtig verstanden habe:
mySQLdumper ist attackierbar, wenn man es über den Webserver erreichbar
macht.
Und das auch nur dann, wenn man dafür die mysqlDuper Funktionalität
nutzt, um die .htaccess/.htPasswd Kombination, welche den Passwortschutz
generiert, zu erzeugen. Schlicht und einfach deswegen, weil der erzeugte
Code schlecht ist.
Erzeugt man die selber, ist mySQLdumper imho sicher. Vor allem wenn man
es eben lediglich serverseitig nutzt, und gar nicht erst durch das Web
erreichbar macht.
Viele Grüsse
Sebastian
<skype:cozwei?add>
Bjoern Pedersen schrieb:
> Sebastian Böttger <sebastian.boettger at gmail.com> writes:
>
>
>> Ja Philipp,
>>
>> ich hab aber das Gefühl das er jetzt denkt der Fehler liegt bei mysqldumper.
>> Und das fänd ich nicht fair, wenn man es einfach so stehen lässt.
>> Denn unfähig in diesem Fall ist der Extensionprogrammer, und nicht der
>> Entwickler von mysqldumper.
>>
>
> Bitte lies nochmal das security bulletin zu mysqldumper genau durch,
> insbesondere den part "background":
> http://typo3.org/teams/security/security-bulletins/typo3-20070703-1/
>
> Das Sicherheitsloch lag nicht im Typo3-teil, sondern in
> mysqldumper. Und die Entwickler von mysqldumper haben auf die Anfragen
> des typo3-security-teams nicht reagiert.
>
> Björn
> _______________________________________________
> TYPO3-german mailing list
> TYPO3-german at lists.netfielders.de
> http://lists.netfielders.de/cgi-bin/mailman/listinfo/typo3-german
>
More information about the TYPO3-german
mailing list