Der TYPO3 Security Blog hat nun ein Jahr hinter sich - eine gute Gelegenheit zum Rückblick. Aus meiner Sicht fällt dieser leider negativ aus… was vor allem an der sensiblen Thematik sowie der persönlichen Konstellation liegt:

Als Mitglied des Security Teams habe ich Zugang zu vielen interessanten Informationen, die aber nicht veröffentlicht werden können. Und dabei rede ich nicht von neuen, noch nicht behobenen Lücken, sondern vielmehr von Dingen wie aufkommenden neuen Feature-Ideen (bzw. Diskussionen darüber), umgekehrt aber auch über meiner Meinung nach wünschenswerte Security-Zusatzeigenschaften in Frontend wie Backend, und vieles mehr.

Ein Außenstehender könnte all das viel problemloser kommentieren, ich kann es eben nicht. Was bleibt? In letzter Zeit vor allem das nachträgliche Erläutern veröffentlichter Bulletins, auch dies naturgemäß nur “an der Oberfläche”. Spannender: Sonstige Hintergründe, z.B. in Interviews mit Leuten auch außerhalb des Security Teams. Wobei dies natürlich prümär von den Interviewpartnern abhängt, und trotz viel bekundeten Interesses haben die meisten dann doch nie Zeit für sowas. Auch dies liegt sicherlich - zumindest unter anderem - an der etwas sperrigen Thematik.

Der langen Rede kurzer Sinn: Ich habe mich entschieden, diesen Blog zunächst “auf Eis zu legen”, also nicht weiter zu füttern.

“Zunächst”? Man soll ja bekanntlich nie “nie” sagen… Vielleicht ändert sich die Situation ja irgendwann dahingehend, dass das Ganze besser funkioniert.

Bis dahin: Danke für’s Vorbeischauen, und “take care”!

P.S. Direkt zu Erreichen bin ich weiterhin auch über die naw.info Website bzw. die dort angegebene Email-Adresse.
Oder natürlich per Kommentar auf dieser Seite =)

Weitere Lücken in Dritt-Code, heute sogar in einer sehr weitverbreiteten Extension: In der Benutzerselbstregistrierung sr_feuser_register wurde ein Remote Code Execution Problem (sowie Cross Site Scripting, XSS) gefunden und behoben. Das Security Bulletin TYPO3-20080515-1 stuft dies zu Recht als schwerwiegend ein.

Gleichartige Probleme (und damit ebenfalls in der Kategorie “schwerwiegend”) wurden in einem weiteren Security Bulletin (TYPO3-20080515-2) auch für die “air_filemanager” Extension gemeldet.

Da Remote Code Execution bei Hackern sehr beliebt (weil leicht auszunutzen) ist, scheint mir das verstärkte Auftreten solcher Fehler Grund zur Sorge zu sein… Vielleicht macht es Sinn, Entwickler hier zu unterstützen und dieses Thema gezielt in den Coding Guidelines zu erläutern. (Oder an dieser Stelle anhand eines Beipiels wenigstens mal zu erklären.)

Die neue Woche beginnt sportlich für TYPO3-Admins: Gleich vier Bulletins gab es heute, u.a. ein kritisches Problem in der weitverbreiteten “wt_gallery”.

Hier die gesamte Übersicht:

• TYPO3-20080513-1 wt_gallery: XSS, Path Traversal, Information Disclosure (kritisch)
• TYPO3-20080513-2 pbsurvey: XSS (medium)
• TYPO3-20080513-3 rlmp_eventdb: XSS (medium)
• TYPO3-20080513-4 ke_stats: SQL Injection und XSS (kritisch)

Ist dies nun der Beginn von regelmäßigen “Patch Days”? Nein, allerdings wurde die Veröffentlichung bewusst gebündelt, um den betroffenen Admins das Leben wenigstens etwas zu erleichtern.

Henning Pingel, Co-Leader des Security Teams und Koordinator der Bulletins, wies zudem darauf hin, dass es sich in allen Fällen nicht um offiziellen TYPO3-Code, sondern um Dritt-Extensions handelt - und dass angesichts der weiterhin stark ansteigenden Zahl solcher Extensions auch künftig mit dem Auftreten solcher Fehler zu rechnen sein wird.

Im gleichen Zuge scheint sich momentan die Tendenz zu verstärken, dass wichtige Extensions in die offizielle Pflege durch das TYPO3-Projekt übernommen werden sollten - sicherlich eine gute Idee!

Gleichzeitig zum powermail-Bulletin wurde auch ein Sicherheitsupdate zum “Platzhirschen” der Mailformular-Extensions veröffentlich, nämlich zu th_mailformplus.

Auch hier wurden Cross Site Scripting-Möglichkeiten identifiziert, Hauptproblem aber ist: In Formularen mit Datei-Upload können beliebige Dateitypen hochgeladen werden. Also z.B. auch auch ausführbare PHP-Dateien! Dies führte zu der Einstufung des Problems als “kritisch”.

Im offiziellen Bulletin wird allen Anwendern dringend empfohlen, umgehend auf die korrigierte Version (4.0.4 und höher) zu wechseln, die von Hersteller (Typoheads GmbH) bereitgestellt wurde.

In der “powermail”-Extension, die recht neu ist und gegenwärtig offenbar rasant an Verbreitung gewinnt, wurde ein Cross Site Scripting (XSS) - Problem festgestellt. Wie immer bei reinen XSS-Problemen wurde dieses vom Security Team als “medium” eingestuft.

Die Autoren Alexander Kellner und Mischa Heissmann reagierten prompt und stellten - abgestimmt mit dem offiziellen Security Bulletin - eine korrigierte Version (1.1.10) zur Verfügung. Für Verwirrung sorgte dabei, das praktisch zeitgleich auch ein Feature Upgrade (1.2.x) veröffentlicht wurde (welches aber ebenfalls den besagten Fehler nicht mehr enthält.)