Die heute veröffentlichten Versionsupdates auf 4.1.4 und 4.0.8 beinhalten die Behebung einer Sicherheitslücke in indexed_search – eine Systemextension, die zum Standardumfang von TYPO3 gehört. Das Problem wird allerdings als eher unkritisch eingeschätzt: Es geht um die Möglichkeit von SQL Injection, allerdings nur für angemeldete Backend-Benutzer.

Was bedeutet das? Ein Redakteur könnte – mit sehr viel Knowhow, und erheblicher Mühe – unter bestimmten Umständen Datenbankkommandos absetzen und damit zum Beispiel unberechtigt Inhalte verändern oder auch Administrator werden. Aus Sicherheitssicht dürfte dieses Update also vor allem für Anwender mit einer großen Gruppe von (oder mit wenig vertrauenswürdigen) Backend-Benutzern, oder mit generell hohem Schutzbedarf von Bedeutung sein.

Das offizielle Bulletin dazu findet sich wie üblich unter http://typo3.org/teams/security/security-bulletins/typo3-20071210-1/.

Nicht nur hier im Blog, sondern überhaupt in der TYPO3 Security Szene scheint momentan vorweihnachtliche Besinnlichkeit eingekehrt zu sein: Keine Bulletins, relative Ruhe an der Hacker-Front, aber auch keine Verlautbarungen über Fortschritte z.B. in Sachen WAF oder Security in 4.2. Mein Eindruck ist, dass momentan überall der Jahresend-Stress dominiert. Dennoch tut sich hinter den Kulissen einiges Positives, ich hoffe das eine oder andere davon ist demnächst endlich öffentlich.

Abgesehen davon habe ich mit verschiedenen Leuten darüber diskutiert, an dieser Stelle nicht nur reaktiv zu berichten, sondern auch gelegentlich”Best Practices” zu Sicherheits-Themen darzustellen. Mit dem Ergebnis: Ja, es scheint wohl genug Interesse und auch Themen zu geben. Also geht das los! (weiterlesen…)