http://www.naw.info/blogs/typo3security TYPO3 Secutity Fri, 23 May 2008 12:09:00 +0000 http://backend.userland.com/rss092 de Der TYPO3 Security Blog hat nun ein Jahr hinter sich - eine gute Gelegenheit zum Rückblick. Aus meiner Sicht fällt dieser leider negativ aus... was vor allem an der sensiblen Thematik sowie der persönlichen Konstellation liegt: Als Mitglied des Security Teams habe ich Zugang zu vielen interessanten Informationen, die aber nicht ... http://www.naw.info/blogs/typo3security/2008/05/23/typo3-security-blog-discontinue/ Weitere Lücken in Dritt-Code, heute sogar in einer sehr weitverbreiteten Extension: In der Benutzerselbstregistrierung sr_feuser_register wurde ein Remote Code Execution Problem (sowie Cross Site Scripting, XSS) gefunden und behoben. Das Security Bulletin TYPO3-20080515-1 stuft dies zu Recht als schwerwiegend ein. Gleichartige Probleme (und damit ebenfalls in der Kategorie "schwerwiegend") wurden in ... http://www.naw.info/blogs/typo3security/2008/05/15/security-alarm-kritische-lucken-in-sr_feuser_register-und-air_filemanager/ Die neue Woche beginnt sportlich für TYPO3-Admins: Gleich vier Bulletins gab es heute, u.a. ein kritisches Problem in der weitverbreiteten "wt_gallery". Hier die gesamte Übersicht: TYPO3-20080513-1 wt_gallery: XSS, Path Traversal, Information Disclosure (kritisch) TYPO3-20080513-2 pbsurvey: XSS (medium) TYPO3-20080513-3 rlmp_eventdb: XSS (medium) TYPO3-20080513-4 ke_stats: SQL Injection und XSS (kritisch) Ist dies nun der Beginn von regelmäßigen "Patch ... http://www.naw.info/blogs/typo3security/2008/05/13/patch-day-4-security-bulletins-an-einem-tag/ Gleichzeitig zum powermail-Bulletin wurde auch ein Sicherheitsupdate zum "Platzhirschen" der Mailformular-Extensions veröffentlich, nämlich zu th_mailformplus. Auch hier wurden Cross Site Scripting-Möglichkeiten identifiziert, Hauptproblem aber ist: In Formularen mit Datei-Upload können beliebige Dateitypen hochgeladen werden. Also z.B. auch auch ausführbare PHP-Dateien! Dies führte zu der Einstufung des Problems als "kritisch". Im offiziellen Bulletin ... http://www.naw.info/blogs/typo3security/2008/05/05/security-alarm-kritische-lucken-in-th_mailformplus/ In der "powermail"-Extension, die recht neu ist und gegenwärtig offenbar rasant an Verbreitung gewinnt, wurde ein Cross Site Scripting (XSS) - Problem festgestellt. Wie immer bei reinen XSS-Problemen wurde dieses vom Security Team als "medium" eingestuft. Die Autoren Alexander Kellner und Mischa Heissmann reagierten prompt und stellten - abgestimmt mit dem ... http://www.naw.info/blogs/typo3security/2008/05/05/security-alarm-cross-site-scripting-in-powermail-extension/ In einem weiteren Bulletin gibt das Security Team heute die pmk_rssnewsexport und cm_rdfexport aus dem Extension Repository bekannt. Beide sind mit SQL Injection Problemen behaftet, das Problem daher als schwerwiegend eingestuft.Und: Beide Extensions sind heute überflüssig, da die Funktionalität bereits in tt_news enthalten ist. Wer also noch pmk_rssnewsexport oder cm_rdfexport verwende, ... http://www.naw.info/blogs/typo3security/2008/04/16/security-alarm-auch-pmk_rssnewsexport-und-cm_rdfexport-aus-dem-ter-entfernt/ Seit längerem gab es heute wieder mal Advisories des TYPO3 Security Teams: Betroffen ist zunächst die "Visitor Tracking System" Extension (VTS, Extension-Schlüssel "de_phpot"). Als negatives Novum muss gelten, dass der Extension-Autor nicht zur Behebung erreicht werden konnte - Konsequenz: Die Extension ist nun aus dem Repository verbannt. Der Verlust dürfte verschmerzbar ... http://www.naw.info/blogs/typo3security/2008/04/16/security-alarm-extension-vts-de_phpot-wegen-sicherheitsmangeln-zuruckgezogen/ Die heute veröffentlichten Versionsupdates auf 4.1.4 und 4.0.8 beinhalten die Behebung einer Sicherheitslücke in indexed_search - eine Systemextension, die zum Standardumfang von TYPO3 gehört. Das Problem wird allerdings als eher unkritisch eingeschätzt: Es geht um die Möglichkeit von SQL Injection, allerdings nur für angemeldete Backend-Benutzer. Was bedeutet das? Ein Redakteur könnte ... http://www.naw.info/blogs/typo3security/2007/12/10/typo3-414-und-408-mit-kleinerem-security-fix/ Nicht nur hier im Blog, sondern überhaupt in der TYPO3 Security Szene scheint momentan vorweihnachtliche Besinnlichkeit eingekehrt zu sein: Keine Bulletins, relative Ruhe an der Hacker-Front, aber auch keine Verlautbarungen über Fortschritte z.B. in Sachen WAF oder Security in 4.2. Mein Eindruck ist, dass momentan überall der Jahresend-Stress dominiert. Dennoch ... http://www.naw.info/blogs/typo3security/2007/12/06/alles-so-schon-ruhig/ So nach und nach wird unser Honigtopf immer interessanter - heute ging uns gerade der zweite Zero Day Exploit ins virtuelle Netz. Erneut (und: zum Glück) betraf es aber nicht TYPO3, sondern ein anderes CMS, und die Lücke haben wir natürlich brav dem Hersteller gemeldet. Und erneut handelt es sich ... http://www.naw.info/blogs/typo3security/2007/10/05/typo3-honeypot-zero-day-exploits-aber-noch-nicht-fur-typo3/