[TYPO3-german] TYPO3 Test ob Lücke geschlossen
Stefano Kowalke
blueduck at gmx.net
Thu Feb 12 10:51:30 CET 2009
Lars Brinkmann schrieb:
> Hallo Liste,
>
> ich habe eben bei einem alten 3.8-Projekt von Hand die entsprechende
> Zeile in der class.tslib_fe.php geändert.
>
> Kann ich mich darauf verlassen oder kann ich irgendwie testen, ob das
> System nun "dicht" ist? Den entsprechenden Exploit als Python-Script
> habe ich gefunden, nur im Moment keine Python-Installation. Gut,
> könnte ich nachholen. Aber vielleicht gibt es ja auch eine andere
> Testmöglichkeit?
>
> Viele Grüße, Lars Brinkmann
Die Frage ist nicht mit einem einfachen Ja oder Nein zu beantworten.
Hast Du Deine Sites recht schnell gepatcht und kannst davon ausgehen,
dass niemand die entprechende URL zur localconf.php zuvor eingegeben hat
(und dadurch den juHash im Klartext zu Gesicht bekommen hat), ist Dein
System sicher.
Sollte aber schon jemand den juHash ausgelesen haben, dann kann er auch
vom gepatchten Sytstem noch Dateien runterladen.
Um das zu verhindern mußt Du im Installtool den Encryption Key neu
generieren lassen.
Da man sich über den ersten Punkt nie so richtig sicher sein kann, würde
ich den Encryption Key, das Installer Passwort und den Zugang zur
Datenbank ändern.
Ich hoffe das wird nicht als Exploid angesehen ;-)
Stefano
More information about the TYPO3-german
mailing list