[TYPO3-german] EXT: mysqldumper

Basti Baumann donillo at gmail.com
Wed Jul 18 12:35:06 CEST 2007 

Michael Ludwig schrieb:
> Hallo,
> 
> Am 13.07.07 schrieb Michael Ludwig <michaellud at googlemail.com>:
>> Habe nun zufällig Deinen Kommentar hier gelesen und die ganze Sache
>> unter [1] und [2] nachverfolgt...
> 
> Hatte leider nicht die Links zu [1] und [2] mitgeschickt, deswegen
> unten in dieser Mail...
> 
> 
> 
> Am 13.07.07 schrieb Sebastian Böttger <sebastian.boettger at gmail.com>:
>> Wenn ich es richtig verstanden habe:
>> mySQLdumper ist attackierbar, wenn man es über den Webserver erreichbar
>> macht.
>> Und das auch nur dann, wenn man dafür die mysqlDuper Funktionalität
>> nutzt, um die .htaccess/.htPasswd Kombination, welche den Passwortschutz
>> generiert, zu erzeugen. Schlicht und einfach deswegen, weil der erzeugte
>> Code schlecht ist.
> 
> Genau so habe ich das auch verstanden. In dem Sinne hast Du Recht,
> wenn Du schreibst, dass die Software selber (mysqldumper) ansonsten in
> Ordnung ist.
> Aber da die Entwickler den im Bugtraq angesprochenen Fehler nicht
> beheben, ist für alle, die sich nicht des Problems bewusst sind
> (dadurch dass sie nichts von dem Problem erfahren haben, so wie ich
> fast, wäre nicht dieses Posting gewesen welches ich durch Zufall
> entdeckt habe!) die "Software" damit fehlerhaft. Im grossen und ganzen
> halt.
> 
> 
>> Erzeugt man die selber, ist mySQLdumper imho sicher. Vor allem wenn man
> 
> Scheint ja so zu sein, das man den Fehler wirklich leicht bzw. recht
> schnell beheben kann. Warum machen die Entwickler das denn dann nicht
> einfach sondern scheinen dieses Problem einfach zu ignorieren?? Das
> ist doch auch eine gute Frage! ;-) Aber zu OT... ;-)
> 
> 
>> es eben lediglich serverseitig nutzt, und gar nicht erst durch das Web
>> erreichbar macht.
> 
> So weit habe ich mich mit dem mysqldumper noch gar nicht beschäftigt,
> nachdem ich den Bugtraq gelesen habe dachte ich mir, doch lieber die
> Finger davon zu lassen... ;-)
> Aber wenn das geht (scheint ja über einen Cronjob zu laufen), dann
> wäre das ja eine echte Alternative... Weboberfläche weg = kein Risiko
> mehr... ;-)
> 
> Grüsse,
> Michael
> 
> 
> 
> [1] http://typo3.org/teams/security/security-bulletins/typo3-20070703-1/
> [2] http://www.securityfocus.com/archive/1/472756/30/0/threaded

Der htaccess Bug ist doch schon lange in der Standalone Version gefixt 
(und auch sofort nach dem Erscheinen des Sicherheitsberichts). Die 
Autoren haben also sofort regiert. Wegen den schlechten Kommentaren zu 
der Extension haben sich die Autoren wohl entschlossen das ganze nicht 
mehr als Extension anzubieten.

Grüße
Basti

More information about the TYPO3-german mailing list