Weitere Lücken in Dritt-Code, heute sogar in einer sehr weitverbreiteten Extension: In der Benutzerselbstregistrierung sr_feuser_register wurde ein Remote Code Execution Problem (sowie Cross Site Scripting, XSS) gefunden und behoben. Das Security Bulletin TYPO3-20080515-1 stuft dies zu Recht als schwerwiegend ein.

Gleichartige Probleme (und damit ebenfalls in der Kategorie “schwerwiegend”) wurden in einem weiteren Security Bulletin (TYPO3-20080515-2) auch für die “air_filemanager” Extension gemeldet.

Da Remote Code Execution bei Hackern sehr beliebt (weil leicht auszunutzen) ist, scheint mir das verstärkte Auftreten solcher Fehler Grund zur Sorge zu sein… Vielleicht macht es Sinn, Entwickler hier zu unterstützen und dieses Thema gezielt in den Coding Guidelines zu erläutern. (Oder an dieser Stelle anhand eines Beipiels wenigstens mal zu erklären.)

Die neue Woche beginnt sportlich für TYPO3-Admins: Gleich vier Bulletins gab es heute, u.a. ein kritisches Problem in der weitverbreiteten “wt_gallery”.

Hier die gesamte Übersicht:

• TYPO3-20080513-1 wt_gallery: XSS, Path Traversal, Information Disclosure (kritisch)
• TYPO3-20080513-2 pbsurvey: XSS (medium)
• TYPO3-20080513-3 rlmp_eventdb: XSS (medium)
• TYPO3-20080513-4 ke_stats: SQL Injection und XSS (kritisch)

Ist dies nun der Beginn von regelmäßigen “Patch Days”? Nein, allerdings wurde die Veröffentlichung bewusst gebündelt, um den betroffenen Admins das Leben wenigstens etwas zu erleichtern.

Henning Pingel, Co-Leader des Security Teams und Koordinator der Bulletins, wies zudem darauf hin, dass es sich in allen Fällen nicht um offiziellen TYPO3-Code, sondern um Dritt-Extensions handelt – und dass angesichts der weiterhin stark ansteigenden Zahl solcher Extensions auch künftig mit dem Auftreten solcher Fehler zu rechnen sein wird.

Im gleichen Zuge scheint sich momentan die Tendenz zu verstärken, dass wichtige Extensions in die offizielle Pflege durch das TYPO3-Projekt übernommen werden sollten – sicherlich eine gute Idee!

Gleichzeitig zum powermail-Bulletin wurde auch ein Sicherheitsupdate zum “Platzhirschen” der Mailformular-Extensions veröffentlich, nämlich zu th_mailformplus.

Auch hier wurden Cross Site Scripting-Möglichkeiten identifiziert, Hauptproblem aber ist: In Formularen mit Datei-Upload können beliebige Dateitypen hochgeladen werden. Also z.B. auch auch ausführbare PHP-Dateien! Dies führte zu der Einstufung des Problems als “kritisch”.

Im offiziellen Bulletin wird allen Anwendern dringend empfohlen, umgehend auf die korrigierte Version (4.0.4 und höher) zu wechseln, die von Hersteller (Typoheads GmbH) bereitgestellt wurde.

In der “powermail”-Extension, die recht neu ist und gegenwärtig offenbar rasant an Verbreitung gewinnt, wurde ein Cross Site Scripting (XSS) – Problem festgestellt. Wie immer bei reinen XSS-Problemen wurde dieses vom Security Team als “medium” eingestuft.

Die Autoren Alexander Kellner und Mischa Heissmann reagierten prompt und stellten – abgestimmt mit dem offiziellen Security Bulletin – eine korrigierte Version (1.1.10) zur Verfügung. Für Verwirrung sorgte dabei, das praktisch zeitgleich auch ein Feature Upgrade (1.2.x) veröffentlicht wurde (welches aber ebenfalls den besagten Fehler nicht mehr enthält.)

In einem weiteren Bulletin gibt das Security Team heute die pmk_rssnewsexport und cm_rdfexport aus dem Extension Repository bekannt.

Beide sind mit SQL Injection Problemen behaftet, das Problem daher als schwerwiegend eingestuft.Und: Beide Extensions sind heute überflüssig, da die Funktionalität bereits in tt_news enthalten ist. Wer also noch pmk_rssnewsexport oder cm_rdfexport verwende, sollte unverzüglich auf tt_news umstellen.

Weitere Informationen gibt das offzielle Bulletin.

Seit längerem gab es heute wieder mal Advisories des TYPO3 Security Teams: Betroffen ist zunächst die “Visitor Tracking System” Extension (VTS, Extension-Schlüssel “de_phpot”).

Als negatives Novum muss gelten, dass der Extension-Autor nicht zur Behebung erreicht werden konnte – Konsequenz: Die Extension ist nun aus dem Repository verbannt. Der Verlust dürfte verschmerzbar sein, da das performanceintensive VTS (internes Protokollieren jedes Mausklicks) schon seit langem als ungünstige Lösung gilt.

Die verschiedenen Probleme – SQL Injection, Information Disclosure, Denial of Service – die von Henning Pingel aufgedeckt wurden, sind als schwerwiegend eingestuft. Details finden sich wie immer im offiziellen Security Bulletin.Insbesondere wird darauf hingewiesen, dass die Extension nicht nur deaktiviert, sondern auch deinstalliert werden sollte.

Die heute veröffentlichten Versionsupdates auf 4.1.4 und 4.0.8 beinhalten die Behebung einer Sicherheitslücke in indexed_search – eine Systemextension, die zum Standardumfang von TYPO3 gehört. Das Problem wird allerdings als eher unkritisch eingeschätzt: Es geht um die Möglichkeit von SQL Injection, allerdings nur für angemeldete Backend-Benutzer.

Was bedeutet das? Ein Redakteur könnte – mit sehr viel Knowhow, und erheblicher Mühe – unter bestimmten Umständen Datenbankkommandos absetzen und damit zum Beispiel unberechtigt Inhalte verändern oder auch Administrator werden. Aus Sicherheitssicht dürfte dieses Update also vor allem für Anwender mit einer großen Gruppe von (oder mit wenig vertrauenswürdigen) Backend-Benutzern, oder mit generell hohem Schutzbedarf von Bedeutung sein.

Das offizielle Bulletin dazu findet sich wie üblich unter http://typo3.org/teams/security/security-bulletins/typo3-20071210-1/.

Für die recht junge, aber mächtige Forums-Extension “mm_forum” wurde heute eine Vielzahl von Sicherheitslücken gemeldet – wie üblich in Form eines TYPO3 Security Bulletins und in Verbindung mit der Bereitstellung einer gefixten Version. (weiterlesen…)

Das TYPO3 Security Team hat heute ein weiteres Security Bulletin herausgegeben. Betroffen ist die mit 35.000 Downloads sehr verbreitete Gästebuch-Erweiterung “ve_guestbook” (u.a. eingesetzt im TYPO3-Blogsystem “TIMTAB”), allerdings nur in Versionen kleiner als 1.9.4.

Da es sich hierbei sowohl um Cross Site Scripting als auch um ein “SQL Injection” Problem handelt, wird es als schwerwiegend eingestuft.

Anwender-Berichte, die beim Security Team eingegangen sind, weisen darauf hin, dass diese Lücke in Hackerkreisen bereits bekannt ist, und gezielt gesucht und ausgenutzt wird. Wer also noch eine alte Version (< 1.9.4) verwendet, sollte diese dringend aktualisieren!

Details finden sich im offiziellen Security Bulletin.

Das “große Aufräumen” geht weiter: Heute hat das TYPO3 Security Team eine weitere Warnung herausgegeben. Diesmal ist die PHP-Bibliothek “PHPMailer” betroffen, die zwar nicht von TYPO3, aber von verschiedenen Dritt-Extensions verwendet wird:

(weiterlesen…)