Gleichzeitig zum powermail-Bulletin wurde auch ein Sicherheitsupdate zum “Platzhirschen” der Mailformular-Extensions veröffentlich, nämlich zu th_mailformplus.

Auch hier wurden Cross Site Scripting-Möglichkeiten identifiziert, Hauptproblem aber ist: In Formularen mit Datei-Upload können beliebige Dateitypen hochgeladen werden. Also z.B. auch auch ausführbare PHP-Dateien! Dies führte zu der Einstufung des Problems als “kritisch”.

Im offiziellen Bulletin wird allen Anwendern dringend empfohlen, umgehend auf die korrigierte Version (4.0.4 und höher) zu wechseln, die von Hersteller (Typoheads GmbH) bereitgestellt wurde.

In der “powermail”-Extension, die recht neu ist und gegenwärtig offenbar rasant an Verbreitung gewinnt, wurde ein Cross Site Scripting (XSS) - Problem festgestellt. Wie immer bei reinen XSS-Problemen wurde dieses vom Security Team als “medium” eingestuft.

Die Autoren Alexander Kellner und Mischa Heissmann reagierten prompt und stellten - abgestimmt mit dem offiziellen Security Bulletin - eine korrigierte Version (1.1.10) zur Verfügung. Für Verwirrung sorgte dabei, das praktisch zeitgleich auch ein Feature Upgrade (1.2.x) veröffentlicht wurde (welches aber ebenfalls den besagten Fehler nicht mehr enthält.)

In einem weiteren Bulletin gibt das Security Team heute die pmk_rssnewsexport und cm_rdfexport aus dem Extension Repository bekannt.

Beide sind mit SQL Injection Problemen behaftet, das Problem daher als schwerwiegend eingestuft.Und: Beide Extensions sind heute überflüssig, da die Funktionalität bereits in tt_news enthalten ist. Wer also noch pmk_rssnewsexport oder cm_rdfexport verwende, sollte unverzüglich auf tt_news umstellen.

Weitere Informationen gibt das offzielle Bulletin.

Seit längerem gab es heute wieder mal Advisories des TYPO3 Security Teams: Betroffen ist zunächst die “Visitor Tracking System” Extension (VTS, Extension-Schlüssel “de_phpot”).

Als negatives Novum muss gelten, dass der Extension-Autor nicht zur Behebung erreicht werden konnte - Konsequenz: Die Extension ist nun aus dem Repository verbannt. Der Verlust dürfte verschmerzbar sein, da das performanceintensive VTS (internes Protokollieren jedes Mausklicks) schon seit langem als ungünstige Lösung gilt.

Die verschiedenen Probleme - SQL Injection, Information Disclosure, Denial of Service - die von Henning Pingel aufgedeckt wurden, sind als schwerwiegend eingestuft. Details finden sich wie immer im offiziellen Security Bulletin.Insbesondere wird darauf hingewiesen, dass die Extension nicht nur deaktiviert, sondern auch deinstalliert werden sollte.

Die heute veröffentlichten Versionsupdates auf 4.1.4 und 4.0.8 beinhalten die Behebung einer Sicherheitslücke in indexed_search - eine Systemextension, die zum Standardumfang von TYPO3 gehört. Das Problem wird allerdings als eher unkritisch eingeschätzt: Es geht um die Möglichkeit von SQL Injection, allerdings nur für angemeldete Backend-Benutzer.

Was bedeutet das? Ein Redakteur könnte - mit sehr viel Knowhow, und erheblicher Mühe - unter bestimmten Umständen Datenbankkommandos absetzen und damit zum Beispiel unberechtigt Inhalte verändern oder auch Administrator werden. Aus Sicherheitssicht dürfte dieses Update also vor allem für Anwender mit einer großen Gruppe von (oder mit wenig vertrauenswürdigen) Backend-Benutzern, oder mit generell hohem Schutzbedarf von Bedeutung sein.

Das offizielle Bulletin dazu findet sich wie üblich unter http://typo3.org/teams/security/security-bulletins/typo3-20071210-1/.

Nicht nur hier im Blog, sondern überhaupt in der TYPO3 Security Szene scheint momentan vorweihnachtliche Besinnlichkeit eingekehrt zu sein: Keine Bulletins, relative Ruhe an der Hacker-Front, aber auch keine Verlautbarungen über Fortschritte z.B. in Sachen WAF oder Security in 4.2. Mein Eindruck ist, dass momentan überall der Jahresend-Stress dominiert. Dennoch tut sich hinter den Kulissen einiges Positives, ich hoffe das eine oder andere davon ist demnächst endlich öffentlich.

Abgesehen davon habe ich mit verschiedenen Leuten darüber diskutiert, an dieser Stelle nicht nur reaktiv zu berichten, sondern auch gelegentlich”Best Practices” zu Sicherheits-Themen darzustellen. Mit dem Ergebnis: Ja, es scheint wohl genug Interesse und auch Themen zu geben. Also geht das los! | Ganzen Beitrag lesen …

So nach und nach wird unser Honigtopf immer interessanter - heute ging uns gerade der zweite Zero Day Exploit ins virtuelle Netz. Erneut (und: zum Glück) betraf es aber nicht TYPO3, sondern ein anderes CMS, und die Lücke haben wir natürlich brav dem Hersteller gemeldet. Und erneut handelt es sich um eine “Remote File Inclusion” Lücke; es fällt auf, dass inzwischen sehr viele Scans nach solchen - leicht ausnutzbaren - Verwundbarkeiten suchen. Was zumindest im Mittel zu der Feststellung führt: Auch die Hacker werden immer fauler. ;- ) | Ganzen Beitrag lesen …

Hüstel… und hier noch ein Bericht in eigener Sache von der TYPO3-Konferenz: Am heutigen Samstag, zu geradezu nachtschlafener Zeit, durfte ich in einem weiteren Vortrag unsere neue Extension zur Einbindung von OpenID in TYPO3 vorstellen; inklusive der Vorführung “OpenID in die TYPO3-Website einbinden - in 3 Minuten”. Die Extension, die Didi Heise entwicklet hat, ist ab sofort im TER, und die Präsentation findet sich unter http://www.naw.info/t3con07. | Ganzen Beitrag lesen …

Immer wieder wird betont, wie wichtig das Sicherheitsbewusstsein der Programierer ist. Schon auf früheren T3CON’s gab es daher sowohl Vorträge als auch Tutorials, die zum einen Sicherheitsprobleme wie Cross Site Scripting (XSS), SQL Injection oder Remote File Inclusion erklärten, zum anderen auch zeigten, wie Entwickler solche Lücken vermeiden können.

Auch Lars Houmark und Henning Pingel taten das in ihrem heutigen Vortrag, gingen aber noch einen Schritt weiter: Sehr anschaulich demonstrierte Lars, wie er scriptgestützt eine beliebige SQL Injection Schwachstelle ausnutzen kann (per “Blind SQL Injection”) und erlangte auf dieser Basis in kürzester Zeit Admin-Zugriff auf das angegriffene System. | Ganzen Beitrag lesen …

Eine spannende Neuigkeit gab es gleich zum Anfang des Konferenzteils der diesjährigen TYPO3-Konferenz T3CON07: Lars Jensen, zuständiger Projektleiter im Security Team, kündigte die Bereitstellung einer “TYPO3-Firewall” an, genauer gesagt einer Web Application Firewall (WAF) auf Basis von mod_security. | Ganzen Beitrag lesen …