Thema: Typo3 ...

[SiLæncer]

Die Typo3 -Entwickler haben die Versionen 4.1.13, 4.2.10 und 4.3beta2 zum Download bereit gestellt, in denen insgesamt neun Sicherheitslücken und Schwachstellen beseitigt sind. Unter den Problemen finden sich Cross-Site-Scripting-Schwachstellen, SQL-Injection-Lücken und Möglichkeiten, Schutzfunktionen auszuhebeln und Daten auszuspähen.

Die (technisch) kritischste Lücke findet sich in der Verarbeitung hochgeladener Dateien, durch die ein Redakteur mittels präparierter Dateinamen laut Bericht eigene Befehle an die Shell des Systems übergeben und starten kann. Dazu muss der Redakteur allerdings am System angemeldet sein – auch bei den SQL-Injection-Lücken muss man am System angemeldet sein. Zudem funktioniert der Angriff auf die Shell nur, wenn die Dateien über Erweiterungsmodule anderer Hersteller oder per FTP hochgeladen werden. Auf dem Standardweg über das integrierte Modul wird der Dateiname indes korrekt normalisiert.

Betroffen ist zwar auch die Version 4.0.13, dieser Zweig wird jedoch nicht mehr unterstützt. Der Support für Version 4.1 endet nach Erscheinen der stabilen Version 4.3, also voraussichtlich Ende November dieses Jahres. 

Quelle : www.heise.de

[SiLæncer]

Die Typo3 -Entwickler haben drei Schwachstellen-Berichte veröffentlicht, die bei insgesamt neun Erweiterungen Probleme wie Cross-Site-Scripting, SQL-Injection und Command-Injection beschreiben. Ein Angreifer könnte dadurch die Datenbank manipulieren, an vertrauliche Daten gelangen oder sogar administrativen Zugang zum System erlangen.

Die Erweiterungen sind nicht Bestandteil einer Typo3-Standardinstallation. Zu den betroffenen Extensions gehören laut Bericht:

    * [AN] Search it! (an_searchit) 2.4.1 (und vorherige)
    * Simple download-system with counter and categories (kk_downloader) 1.2.1 (und vorherige)
    * Automatic Base Tags for RealUrl (lt_basetag) 1.0.0
    * Trips (mchtrips) 2.0.0
    * simple Glossar (simple_glossar) 1.0.3 and prior
    * TW Productfinder (tw_productfinder) 0.0.2 and prior
    * DB Integration (wfqbe) 1.3.1 and prior
    * Direct Mail (direct_mail) 2.6.4 and prior
    * Calendar Base (cal) 1.2.0 and prior

Die Entwickler stufen die meisten der Probleme als risikoreich ein. Bislang gibt es aber nur Updates für DB Integration, Trips, kk_downloader, Direct Mail und Calendar Base, die sich über den "TYPO3 Extension Manager" aktualisieren lassen. Für die anderen gibt es aus diversen Gründen keine Updates. Anwender sollten die Erweiterungen entfernen. Aus dem TYPO3 Extension Repository sind sie bereits entfernt worden.

Quelle : www.heise.de

[SiLæncer]

Die Typo3  -Entwickler haben mehrere Sicherheitslücken in ihrem Content-Management-System geschlossen. Aktuell sind nun die Versionen 4.2.12 und 4.3.2. Laut ihrem Security Bulletin gibt unter Umständen das Backend der Vorgängerversionen Angreifern mit gültigem Account die nichtöffentlichen Daten anderer Nutzer preis. Außerdem sind sowohl Front- als auch Backend für diverse Cross-Site-Scripting-Attacken anfällig.

Das Frontend der Versionen 4.3.0 und 4.3.1 lässt sogar unter gewissen Umständen Angreifer ohne Passwort herein, wenn die Erweiterung "saltedpasswords" geladen wurde – ausgerechnet sicherheitsbewusste Admins sind hier die Gekniffenen. Typo3-Betreuer sollten das Update daher bei nächster Gelegenheit einspielen.

Quelle : www.heise.de

[SiLæncer]

Die Entwickler des CMS-Framework Typo3 schlagen in einem Mailing an typo3-announce@lists.typo3.org  Alarm; auch der Sicherheitsdienstleister Secunia stuft das Problem als "highly critical" ein. In den Typo3-Versionen  4.3.0, 4.3.1 und 4.3.2 (ebenso in bisherigen Entwicklerversionen des 4.4-Zweigs) kann ein Angreifer PHP-Code von einem externen Server einschleusen und innerhalb von Typo3 ausführen.

Das Advisory SA-2010-008 beschreibt detailliert, wie sich Abhilfe schaffen lässt. Zum einen löst ein Upgrade auf Version 4.3.3 das Problem. Es gibt überdies drei PHP-Schalter, von denen mindestens einer auf "off" stehen muss, damit die Lücke nicht ausgenutzt werden kann:

register_globals ("off" by default, advised to be "off" in TYPO3 Security Cookbook)

allow_url_include ("off" by default)

allow_url_fopen ("on" by default)

Die Chancen stehen gut, dass einer davon bereits standardmäßig abgeschaltet ist und es ist eine gute Idee, alle abzuschalten. Aber erstens gibt das in manchen Fällen Kompatibiltätsprobleme und zweitens hat man als Kunde eines Web-Hosters unter Umständen nur sehr eingeschränkte Möglichkeiten, die PHP-Einstellungen selbst zu verändern.

Wer ein Typo3-System administriert, sollte jedenfalls jetzt sofort nachsehen, ob er betroffen ist, und dann die nötigen Maßnahmen ergreifen. Wer dazu schnell nachschauen will, wie die PHP-Variablen gesetzt sind, legt einfach eine Datei test.php an

<?
phpinfo();
?>

und ruft die im Browser dann auf. Danach löschen Sie diese Datei wieder,  weil sie sonst einem potenziellen Angreifer viele Informationen preis gibt. Siehe dazu auch

10.10.07 - Grundsicherung für PHP-Software

Quelle : www.heise.de

[SiLæncer]

In einem Security Bulletin geben die Entwickler von Typo3 bekannt, dass sie zahlreiche kritische Sicherheitslücken in ihrem Content Management System geschlossen haben. Die Palette reicht von XSS-Lücken über mögliche SQL Injections bis hin zur Ausführung fremden Codes.

Admins, die Version bis einschließlich 4.1.13, 4.2.12, 4.3.3 oder 4.4 im Einsatz haben, sollten ihre Typo3-Installation umgehend auf den neuesten Stand bringen.

Siehe dazu auch:

    * TYPO3 Security Bulletin TYPO3-SA-2010-012: Multiple vulnerabilities in TYPO3 Core

Quelle : www.heise.de

[SiLæncer]

Erneut  ermöglicht ein Fehler in der jumpURL-Funktion von Typo3 das Herunterladen beliebiger Dateien – im schlimmsten Fall gelangt ein Angreifer an die Datei localconf.php, in der das (gehashte) Passwort für das Install-Tool sowie Nutzername und Passwort für die Datenbank eingetragen sind. Anfang vergangenen Jahres wurde über eine ähnliche Lücke die Webseite von Wolfgang Schäuble gehackt.

Diesmal ist es aber vermutlich nicht ganz so kritisch. Nach Angaben der Entwickler lässt sich der zum Abruf von Dateien notwendige Hashwert spoofen, um die Zugriffskontrollle von Typo3 auszuhebeln. Kern des Problems ist der nicht typsichere Vergleich des übertragenen und des vom Server berechneten Hash-Wertes. So fragt Typo3 in verwundbaren Installationen nur ab, ob die Hashes gleich sind ($a == $b) statt festzustellen, ob sie identisch sind ($a === $b). Aufgrund der impliziten Typumwandlung ergibt beispielweise der Vergleich '' == 0 das Ergebnis true. Wie genau man auf diesem Weg die Zugriffskontrolle aushebelt, lässt der Bericht offen.

Betroffen sind 4.2.14, 4.3.6 und 4.4.3; Updates auf 4.2.15, 4.3.7 und 4.4.4 korrigieren den Fehler. Daneben beheben die Updates eine Reihe weiterer Probleme, darunter Cross-Site-Scripting- und DoS-Schwachstellen. Administratoren sollten die Updates so bald wie möglich installieren.

Quelle : www.heise.de