Der TYPO3 Security Blog hat nun ein Jahr hinter sich – eine gute Gelegenheit zum Rückblick. Aus meiner Sicht fällt dieser leider negativ aus… was vor allem an der sensiblen Thematik sowie der persönlichen Konstellation liegt:

Als Mitglied des Security Teams habe ich Zugang zu vielen interessanten Informationen, die aber nicht veröffentlicht werden können. Und dabei rede ich nicht von neuen, noch nicht behobenen Lücken, sondern vielmehr von Dingen wie aufkommenden neuen Feature-Ideen (bzw. Diskussionen darüber), umgekehrt aber auch über meiner Meinung nach wünschenswerte Security-Zusatzeigenschaften in Frontend wie Backend, und vieles mehr.

Ein Außenstehender könnte all das viel problemloser kommentieren, ich kann es eben nicht. Was bleibt? In letzter Zeit vor allem das nachträgliche Erläutern veröffentlichter Bulletins, auch dies naturgemäß nur “an der Oberfläche”. Spannender: Sonstige Hintergründe, z.B. in Interviews mit Leuten auch außerhalb des Security Teams. Wobei dies natürlich prümär von den Interviewpartnern abhängt, und trotz viel bekundeten Interesses haben die meisten dann doch nie Zeit für sowas. Auch dies liegt sicherlich – zumindest unter anderem – an der etwas sperrigen Thematik.

Der langen Rede kurzer Sinn: Ich habe mich entschieden, diesen Blog zunächst “auf Eis zu legen”, also nicht weiter zu füttern.

“Zunächst”? Man soll ja bekanntlich nie “nie” sagen… Vielleicht ändert sich die Situation ja irgendwann dahingehend, dass das Ganze besser funkioniert.

Bis dahin: Danke für’s Vorbeischauen, und “take care”!

P.S. Direkt zu Erreichen bin ich weiterhin auch über die naw.info Website bzw. die dort angegebene Email-Adresse.
Oder natürlich per Kommentar auf dieser Seite =)

Die neue Woche beginnt sportlich für TYPO3-Admins: Gleich vier Bulletins gab es heute, u.a. ein kritisches Problem in der weitverbreiteten “wt_gallery”.

Hier die gesamte Übersicht:

• TYPO3-20080513-1 wt_gallery: XSS, Path Traversal, Information Disclosure (kritisch)
• TYPO3-20080513-2 pbsurvey: XSS (medium)
• TYPO3-20080513-3 rlmp_eventdb: XSS (medium)
• TYPO3-20080513-4 ke_stats: SQL Injection und XSS (kritisch)

Ist dies nun der Beginn von regelmäßigen “Patch Days”? Nein, allerdings wurde die Veröffentlichung bewusst gebündelt, um den betroffenen Admins das Leben wenigstens etwas zu erleichtern.

Henning Pingel, Co-Leader des Security Teams und Koordinator der Bulletins, wies zudem darauf hin, dass es sich in allen Fällen nicht um offiziellen TYPO3-Code, sondern um Dritt-Extensions handelt – und dass angesichts der weiterhin stark ansteigenden Zahl solcher Extensions auch künftig mit dem Auftreten solcher Fehler zu rechnen sein wird.

Im gleichen Zuge scheint sich momentan die Tendenz zu verstärken, dass wichtige Extensions in die offizielle Pflege durch das TYPO3-Projekt übernommen werden sollten – sicherlich eine gute Idee!

Nicht nur hier im Blog, sondern überhaupt in der TYPO3 Security Szene scheint momentan vorweihnachtliche Besinnlichkeit eingekehrt zu sein: Keine Bulletins, relative Ruhe an der Hacker-Front, aber auch keine Verlautbarungen über Fortschritte z.B. in Sachen WAF oder Security in 4.2. Mein Eindruck ist, dass momentan überall der Jahresend-Stress dominiert. Dennoch tut sich hinter den Kulissen einiges Positives, ich hoffe das eine oder andere davon ist demnächst endlich öffentlich.

Abgesehen davon habe ich mit verschiedenen Leuten darüber diskutiert, an dieser Stelle nicht nur reaktiv zu berichten, sondern auch gelegentlich”Best Practices” zu Sicherheits-Themen darzustellen. Mit dem Ergebnis: Ja, es scheint wohl genug Interesse und auch Themen zu geben. Also geht das los! (weiterlesen…)

So nach und nach wird unser Honigtopf immer interessanter – heute ging uns gerade der zweite Zero Day Exploit ins virtuelle Netz. Erneut (und: zum Glück) betraf es aber nicht TYPO3, sondern ein anderes CMS, und die Lücke haben wir natürlich brav dem Hersteller gemeldet. Und erneut handelt es sich um eine “Remote File Inclusion” Lücke; es fällt auf, dass inzwischen sehr viele Scans nach solchen – leicht ausnutzbaren – Verwundbarkeiten suchen. Was zumindest im Mittel zu der Feststellung führt: Auch die Hacker werden immer fauler. ;- ) (weiterlesen…)

Es ist ja schon etwas her, dass ich einen TYPO3-Honeypot aufgesetzt und hier um Mithilfe per Backlink gebeten hatte. Vielen Dank an alle, die mitgemacht haben!

Inzwischen zeigen sich vermehrt Resultate. Direkte Trafficweiterleitungen haben wir leider nicht bekommen, aber die Seite wird inzwischen auch so, also dank Google und Links, vermehrt gefunden – und zwar wie erhofft auch durch die “bösen Jungs”.

Allerdings war bisher noch nichts explizit TYPO3-orientiertes dabei… Hier die bisherigen Top-3 Systeme, auf deren Lücken gescannt wird:

(weiterlesen…)

Ich habe mir gerade mal die Download-Zahlen zu den Fixes der jüngsten schwerwiegenden Sicherheitsprobleme angeschaut – und war ehrlich gesagt etwas überrascht, und zwar im negativen Sinne. Ein Beispiel: “ftpbrowser” wurde insgesamt über 4500 mal aus dem TER heruntergeladen – der zugehörige Security Fix bis heute (10 Tage nach dem Bulletin) aber nicht mal 100 mal! Und “fechangepassword” sowie “civserv” weisen ähnlich schlechte Raten auf.

(weiterlesen…)

Angesichts der gegenwärtig hohen Frequenz, mit der das TYPO3 Security Team Problemmeldungen zu Dritt-Extensions herausgibt, ist bei uns gerade die Frage aufgetaucht, wie man die Wahrnehmung und die administrative Umsetzung erleichtern kann. Eine Idee dazu (neben den ohnehin im Raume stehenden Überlegungen zur Automatisierung) ist die Einführung eines “Patchday”, also eines festen periodischen Termins, zu dem Fixes veröffentlicht werden (von etwaigen Zero-Day-Exploits, also bereits aktiv ausgenutzten, einmal abgesehen.)

Was haltet ihr davon?

Das heutige Security Bulletin zu “civserv”, dem virtuellen Rathaus für TYPO3, hat eine besondere Vorgeschichte: Gefunden wurden die Schwachstellen nämlich im Rahmen eines ausführlichen “Extension Review”, also der gezielten Prüfung der Extension im Auftrag der Entwickler. Geleitet wurde dieses Review durch Peter Niederlag, Mitglied des TYPO3 Security Teams und Mitverfasser des “TYPO3 Kochbuch“. Als erstes Interview im Rahmen dieses Blogs habe ich Peter einmal gefragt, wie das ablief.

(weiterlesen…)

Was wir gegenwärtig erleben, erreicht tatsächlich neue Dimensionen: Server werden – vermutlich zentral gesteuert – automatisiert massenhaft auf bekannt Lücken gescannt und gehackt. Und das nicht primär, um z.B. vertrauliche Daten vom Server zu gewinnen oder die Website zu verunstalten, sondern um als nächstes massenhaft Endbenutzer-PCs anzugreifen. Ein logischer nächster Schritt… leider. Was dahintersteht:

(weiterlesen…)