Gleichartige Probleme (und damit ebenfalls in der Kategorie “schwerwiegend”) wurden in einem weiteren Security Bulletin (TYPO3-20080515-2) auch für die “air_filemanager” Extension gemeldet.

Da Remote Code Execution bei Hackern sehr beliebt (weil leicht auszunutzen) ist, scheint mir das verstärkte Auftreten solcher Fehler Grund zur Sorge zu sein… Vielleicht macht es Sinn, Entwickler hier zu unterstützen und dieses Thema gezielt in den Coding Guidelines zu erläutern. (Oder an dieser Stelle anhand eines Beipiels wenigstens mal zu erklären.)

Hier die gesamte Übersicht:

• TYPO3-20080513-1 wt_gallery: XSS, Path Traversal, Information Disclosure (kritisch)
• TYPO3-20080513-2 pbsurvey: XSS (medium)
• TYPO3-20080513-3 rlmp_eventdb: XSS (medium)
• TYPO3-20080513-4 ke_stats: SQL Injection und XSS (kritisch)

Ist dies nun der Beginn von regelmäßigen “Patch Days”? Nein, allerdings wurde die Veröffentlichung bewusst gebündelt, um den betroffenen Admins das Leben wenigstens etwas zu erleichtern.

Henning Pingel, Co-Leader des Security Teams und Koordinator der Bulletins, wies zudem darauf hin, dass es sich in allen Fällen nicht um offiziellen TYPO3-Code, sondern um Dritt-Extensions handelt – und dass angesichts der weiterhin stark ansteigenden Zahl solcher Extensions auch künftig mit dem Auftreten solcher Fehler zu rechnen sein wird.

Im gleichen Zuge scheint sich momentan die Tendenz zu verstärken, dass wichtige Extensions in die offizielle Pflege durch das TYPO3-Projekt übernommen werden sollten – sicherlich eine gute Idee!

Auch hier wurden Cross Site Scripting-Möglichkeiten identifiziert, Hauptproblem aber ist: In Formularen mit Datei-Upload können beliebige Dateitypen hochgeladen werden. Also z.B. auch auch ausführbare PHP-Dateien! Dies führte zu der Einstufung des Problems als “kritisch”.

Im offiziellen Bulletin wird allen Anwendern dringend empfohlen, umgehend auf die korrigierte Version (4.0.4 und höher) zu wechseln, die von Hersteller (Typoheads GmbH) bereitgestellt wurde.

Die Autoren Alexander Kellner und Mischa Heissmann reagierten prompt und stellten – abgestimmt mit dem offiziellen Security Bulletin – eine korrigierte Version (1.1.10) zur Verfügung. Für Verwirrung sorgte dabei, das praktisch zeitgleich auch ein Feature Upgrade (1.2.x) veröffentlicht wurde (welches aber ebenfalls den besagten Fehler nicht mehr enthält.)

Beide sind mit SQL Injection Problemen behaftet, das Problem daher als schwerwiegend eingestuft.Und: Beide Extensions sind heute überflüssig, da die Funktionalität bereits in tt_news enthalten ist. Wer also noch pmk_rssnewsexport oder cm_rdfexport verwende, sollte unverzüglich auf tt_news umstellen.

Weitere Informationen gibt das offzielle Bulletin.

Als negatives Novum muss gelten, dass der Extension-Autor nicht zur Behebung erreicht werden konnte – Konsequenz: Die Extension ist nun aus dem Repository verbannt. Der Verlust dürfte verschmerzbar sein, da das performanceintensive VTS (internes Protokollieren jedes Mausklicks) schon seit langem als ungünstige Lösung gilt.

Die verschiedenen Probleme – SQL Injection, Information Disclosure, Denial of Service – die von Henning Pingel aufgedeckt wurden, sind als schwerwiegend eingestuft. Details finden sich wie immer im offiziellen Security Bulletin.Insbesondere wird darauf hingewiesen, dass die Extension nicht nur deaktiviert, sondern auch deinstalliert werden sollte.

Was bedeutet das? Ein Redakteur könnte – mit sehr viel Knowhow, und erheblicher Mühe – unter bestimmten Umständen Datenbankkommandos absetzen und damit zum Beispiel unberechtigt Inhalte verändern oder auch Administrator werden. Aus Sicherheitssicht dürfte dieses Update also vor allem für Anwender mit einer großen Gruppe von (oder mit wenig vertrauenswürdigen) Backend-Benutzern, oder mit generell hohem Schutzbedarf von Bedeutung sein.

Das offizielle Bulletin dazu findet sich wie üblich unter http://typo3.org/teams/security/security-bulletins/typo3-20071210-1/.

Konkret hatte Security-Team-Aktivposten Henning Pingel bei einer Stichprobe sowohl mehrere SQL Injection als auch Cross Site Scripting Probleme identifiziert, welche das Autorenteam daraufhin umgegehend behob.

Die Probleme sind als schwerwiegend eingestuft. Details finden sich wie immer im offiziellen Security Bulletin.

P.S. Am Rande kam dabei einmal mehr die Überlegung auf, solch komplexe Extensions generell oder zumindest nach Auftreten von Problemen einem intensiveren Review zu unterziehen. Allerdings mit dem bekannten Ergebnis – nämlich dass dies sehr aufwändig und keine Tätigkeit ist, die jemand dauerhaft kostenfrei übernehmen könnte. Aber vielleicht bewegen wir uns doch langsam in Richtung eines Nutzer-finanzierten Review Sponsoring… mal sehen.

Da es sich hierbei sowohl um Cross Site Scripting als auch um ein “SQL Injection” Problem handelt, wird es als schwerwiegend eingestuft.

Anwender-Berichte, die beim Security Team eingegangen sind, weisen darauf hin, dass diese Lücke in Hackerkreisen bereits bekannt ist, und gezielt gesucht und ausgenutzt wird. Wer also noch eine alte Version (< 1.9.4) verwendet, sollte diese dringend aktualisieren!

Details finden sich im offiziellen Security Bulletin.

• agprjmgm
• bb_phpmailer
• classifiedads
• ext_tbl
• iwi_phpmail
• job_bank_resume_mgr
• mk_mailorderplan
• pil_mailform

Die Gefährdung für die Verwender dieser Dritt-Extensions ist als ernsthaft eingestuft, da Angreifer über diese Lücke Kommandos ausführen können. Glücklicherweise zeigt ein Blick in das TYPO3 Extension Repository, dass die Verbreitung dieser Dritt-Extensions eher gering ist.

Wie üblich wurden mit der Bekanntgabe auch Behebungshinweise bereitgestellt, die jeder Anwender der Extension dringend befolgen sollte!
Da einige der aufgeführten Dritt-Extensions vom jeweiligen Entwickler nicht mehr gewartet werden, hat das Security Team für diesen Fall sogar einen Workaround beschrieben.
Details finden sich im offiziellen Security Bulletin.