[TYPO3-german] EXT: mysqldumper

Michael Ludwig michaellud at googlemail.com
Fri Jul 13 17:12:18 CEST 2007 

Hallo,

Am 13.07.07 schrieb Michael Ludwig <michaellud at googlemail.com>:
> Habe nun zufällig Deinen Kommentar hier gelesen und die ganze Sache
> unter [1] und [2] nachverfolgt...

Hatte leider nicht die Links zu [1] und [2] mitgeschickt, deswegen
unten in dieser Mail...



Am 13.07.07 schrieb Sebastian Böttger <sebastian.boettger at gmail.com>:
> Wenn ich es richtig verstanden habe:
> mySQLdumper ist attackierbar, wenn man es über den Webserver erreichbar
> macht.
> Und das auch nur dann, wenn man dafür die mysqlDuper Funktionalität
> nutzt, um die .htaccess/.htPasswd Kombination, welche den Passwortschutz
> generiert, zu erzeugen. Schlicht und einfach deswegen, weil der erzeugte
> Code schlecht ist.

Genau so habe ich das auch verstanden. In dem Sinne hast Du Recht,
wenn Du schreibst, dass die Software selber (mysqldumper) ansonsten in
Ordnung ist.
Aber da die Entwickler den im Bugtraq angesprochenen Fehler nicht
beheben, ist für alle, die sich nicht des Problems bewusst sind
(dadurch dass sie nichts von dem Problem erfahren haben, so wie ich
fast, wäre nicht dieses Posting gewesen welches ich durch Zufall
entdeckt habe!) die "Software" damit fehlerhaft. Im grossen und ganzen
halt.


> Erzeugt man die selber, ist mySQLdumper imho sicher. Vor allem wenn man

Scheint ja so zu sein, das man den Fehler wirklich leicht bzw. recht
schnell beheben kann. Warum machen die Entwickler das denn dann nicht
einfach sondern scheinen dieses Problem einfach zu ignorieren?? Das
ist doch auch eine gute Frage! ;-) Aber zu OT... ;-)


> es eben lediglich serverseitig nutzt, und gar nicht erst durch das Web
> erreichbar macht.

So weit habe ich mich mit dem mysqldumper noch gar nicht beschäftigt,
nachdem ich den Bugtraq gelesen habe dachte ich mir, doch lieber die
Finger davon zu lassen... ;-)
Aber wenn das geht (scheint ja über einen Cronjob zu laufen), dann
wäre das ja eine echte Alternative... Weboberfläche weg = kein Risiko
mehr... ;-)

Grüsse,
Michael



[1] http://typo3.org/teams/security/security-bulletins/typo3-20070703-1/
[2] http://www.securityfocus.com/archive/1/472756/30/0/threaded

More information about the TYPO3-german mailing list