Das “große Aufräumen” geht weiter: Heute hat das TYPO3 Security Team eine weitere Warnung herausgegeben. Diesmal ist die PHP-Bibliothek “PHPMailer” betroffen, die zwar nicht von TYPO3, aber von verschiedenen Dritt-Extensions verwendet wird:
Ich habe mir gerade mal die Download-Zahlen zu den Fixes der jüngsten schwerwiegenden Sicherheitsprobleme angeschaut – und war ehrlich gesagt etwas überrascht, und zwar im negativen Sinne. Ein Beispiel: “ftpbrowser” wurde insgesamt über 4500 mal aus dem TER heruntergeladen – der zugehörige Security Fix bis heute (10 Tage nach dem Bulletin) aber nicht mal 100 mal! Und “fechangepassword” sowie “civserv” weisen ähnlich schlechte Raten auf.
Angesichts der gegenwärtig hohen Frequenz, mit der das TYPO3 Security Team Problemmeldungen zu Dritt-Extensions herausgibt, ist bei uns gerade die Frage aufgetaucht, wie man die Wahrnehmung und die administrative Umsetzung erleichtern kann. Eine Idee dazu (neben den ohnehin im Raume stehenden Überlegungen zur Automatisierung) ist die Einführung eines “Patchday”, also eines festen periodischen Termins, zu dem Fixes veröffentlicht werden (von etwaigen Zero-Day-Exploits, also bereits aktiv ausgenutzten, einmal abgesehen.)
Was haltet ihr davon?
TYPO3-Chef Michael Stucki hat heute die Veröffentlichung der Minor Updates 4.1.2 und 4.0.7 bekanntgegeben – beides sind Bugfix-Releases und enthalten adressieren unter anderem zwei (als sehr unkritisch eingestufte und daher ohne gesondertes Bulletin freigegebene) Security Themen. Der Download ist wie immer unter http://typo3.org/download/packages/ verfügbar.
Parallel dazu wird die Reihe der Problembehebungen zu Dritt-Extensions fortgesetzt. Das TYPO3 Security Team veröffentlichte zwei neue Security Bulletins zu faq und zu phpmyadmin:
Das heutige Security Bulletin zu “civserv”, dem virtuellen Rathaus für TYPO3, hat eine besondere Vorgeschichte: Gefunden wurden die Schwachstellen nämlich im Rahmen eines ausführlichen “Extension Review”, also der gezielten Prüfung der Extension im Auftrag der Entwickler. Geleitet wurde dieses Review durch Peter Niederlag, Mitglied des TYPO3 Security Teams und Mitverfasser des “TYPO3 Kochbuch“. Als erstes Interview im Rahmen dieses Blogs habe ich Peter einmal gefragt, wie das ablief.
Die Reihe der Security Bulletins reisst nicht ab: Das TYPO3 Security Team hat schwerwiegende (Cross-Site-Scripting and SQL-Injection) Probleme in der TYPO3 Dritt-Extension “civserv” (“virtuelles Rathaus”) gefunden und eine Behebung bereitgestellt, die jeder Anwender der Extension dringend installieren sollte!
Details finden sich im offiziellen Security Bulletin.
Hallo allerseits! Wie schon angekündigt, möchten wir die gegenwärtigen und künftigen Hackerangriffe besser verstehen und zu diesem Zweck mit einen (perspektivisch: mehrere) Honeypot aufsetzen.
Das TYPO3 Security Team hat ein schwerwiegendes Problem in der TYPO3 Dritt-Extension “fechangepassword” gefunden und eine Behebung bereitgestellt, die jeder Anwender der Extension dringend installieren sollte!
Details finden sich im offiziellen Security Bulletin.
Dies ist bereits das dritte als ernsthaft eingestufte Problem innerhalb einer Woche. Auch hier ist wieder eine Dritt-Extension betroffen. Man darf davon ausgehen, dass nicht plötzlich schlechtere Extensions als bislang verfügbar sind, sondern dass das Teamleiter Lars Houmark die Aktivitäten des Security Teams im Bereich Schwachstellensuche verschärft hat. Weitere Bulletins sind also wahrscheinlich…
Das TYPO3 Security Team hat ein schwerwiegendes Problem in der TYPO3 Dritt-Extension “ftpbrowser” gefunden und eine Behebung bereitgestellt, die jeder Anwender der Extension dringend installieren sollte!
Details finden sich im offiziellen Security Bulletin.
Was wir gegenwärtig erleben, erreicht tatsächlich neue Dimensionen: Server werden – vermutlich zentral gesteuert – automatisiert massenhaft auf bekannt Lücken gescannt und gehackt. Und das nicht primär, um z.B. vertrauliche Daten vom Server zu gewinnen oder die Website zu verunstalten, sondern um als nächstes massenhaft Endbenutzer-PCs anzugreifen. Ein logischer nächster Schritt… leider. Was dahintersteht:
