Hüstel… und hier noch ein Bericht in eigener Sache von der TYPO3-Konferenz: Am heutigen Samstag, zu geradezu nachtschlafener Zeit, durfte ich in einem weiteren Vortrag unsere neue Extension zur Einbindung von OpenID in TYPO3 vorstellen; inklusive der Vorführung “OpenID in die TYPO3-Website einbinden - in 3 Minuten”. Die Extension, die Didi Heise entwicklet hat, ist ab sofort im TER, und die Präsentation findet sich unter http://www.naw.info/t3con07. | Ganzen Beitrag lesen …

Immer wieder wird betont, wie wichtig das Sicherheitsbewusstsein der Programierer ist. Schon auf früheren T3CON’s gab es daher sowohl Vorträge als auch Tutorials, die zum einen Sicherheitsprobleme wie Cross Site Scripting (XSS), SQL Injection oder Remote File Inclusion erklärten, zum anderen auch zeigten, wie Entwickler solche Lücken vermeiden können.

Auch Lars Houmark und Henning Pingel taten das in ihrem heutigen Vortrag, gingen aber noch einen Schritt weiter: Sehr anschaulich demonstrierte Lars, wie er scriptgestützt eine beliebige SQL Injection Schwachstelle ausnutzen kann (per “Blind SQL Injection”) und erlangte auf dieser Basis in kürzester Zeit Admin-Zugriff auf das angegriffene System. | Ganzen Beitrag lesen …

Eine spannende Neuigkeit gab es gleich zum Anfang des Konferenzteils der diesjährigen TYPO3-Konferenz T3CON07: Lars Jensen, zuständiger Projektleiter im Security Team, kündigte die Bereitstellung einer “TYPO3-Firewall” an, genauer gesagt einer Web Application Firewall (WAF) auf Basis von mod_security. | Ganzen Beitrag lesen …

Für die recht junge, aber mächtige Forums-Extension “mm_forum” wurde heute eine Vielzahl von Sicherheitslücken gemeldet - wie üblich in Form eines TYPO3 Security Bulletins und in Verbindung mit der Bereitstellung einer gefixten Version. | Ganzen Beitrag lesen …

Es ist ja schon etwas her, dass ich einen TYPO3-Honeypot aufgesetzt und hier um Mithilfe per Backlink gebeten hatte. Vielen Dank an alle, die mitgemacht haben!

Inzwischen zeigen sich vermehrt Resultate. Direkte Trafficweiterleitungen haben wir leider nicht bekommen, aber die Seite wird inzwischen auch so, also dank Google und Links, vermehrt gefunden - und zwar wie erhofft auch durch die “bösen Jungs”.

Allerdings war bisher noch nichts explizit TYPO3-orientiertes dabei… Hier die bisherigen Top-3 Systeme, auf deren Lücken gescannt wird:

| Ganzen Beitrag lesen …

Das TYPO3 Security Team hat heute ein weiteres Security Bulletin herausgegeben. Betroffen ist die mit 35.000 Downloads sehr verbreitete Gästebuch-Erweiterung “ve_guestbook” (u.a. eingesetzt im TYPO3-Blogsystem “TIMTAB”), allerdings nur in Versionen kleiner als 1.9.4.

Da es sich hierbei sowohl um Cross Site Scripting als auch um ein “SQL Injection” Problem handelt, wird es als schwerwiegend eingestuft.

Anwender-Berichte, die beim Security Team eingegangen sind, weisen darauf hin, dass diese Lücke in Hackerkreisen bereits bekannt ist, und gezielt gesucht und ausgenutzt wird. Wer also noch eine alte Version (< 1.9.4) verwendet, sollte diese dringend aktualisieren!

Details finden sich im offiziellen Security Bulletin.

Das “große Aufräumen” geht weiter: Heute hat das TYPO3 Security Team eine weitere Warnung herausgegeben. Diesmal ist die PHP-Bibliothek “PHPMailer” betroffen, die zwar nicht von TYPO3, aber von verschiedenen Dritt-Extensions verwendet wird:

| Ganzen Beitrag lesen …

Ich habe mir gerade mal die Download-Zahlen zu den Fixes der jüngsten schwerwiegenden Sicherheitsprobleme angeschaut - und war ehrlich gesagt etwas überrascht, und zwar im negativen Sinne. Ein Beispiel: “ftpbrowser” wurde insgesamt über 4500 mal aus dem TER heruntergeladen - der zugehörige Security Fix bis heute (10 Tage nach dem Bulletin) aber nicht mal 100 mal! Und “fechangepassword” sowie “civserv” weisen ähnlich schlechte Raten auf.

| Ganzen Beitrag lesen …

Angesichts der gegenwärtig hohen Frequenz, mit der das TYPO3 Security Team Problemmeldungen zu Dritt-Extensions herausgibt, ist bei uns gerade die Frage aufgetaucht, wie man die Wahrnehmung und die administrative Umsetzung erleichtern kann. Eine Idee dazu (neben den ohnehin im Raume stehenden Überlegungen zur Automatisierung) ist die Einführung eines “Patchday”, also eines festen periodischen Termins, zu dem Fixes veröffentlicht werden (von etwaigen Zero-Day-Exploits, also bereits aktiv ausgenutzten, einmal abgesehen.)

Was haltet ihr davon?

TYPO3-Chef Michael Stucki hat heute die Veröffentlichung der Minor Updates 4.1.2 und 4.0.7 bekanntgegeben - beides sind Bugfix-Releases und enthalten adressieren unter anderem zwei (als sehr unkritisch eingestufte und daher ohne gesondertes Bulletin freigegebene) Security Themen. Der Download ist wie immer unter http://typo3.org/download/packages/ verfügbar.

Parallel dazu wird die Reihe der Problembehebungen zu Dritt-Extensions fortgesetzt. Das TYPO3 Security Team veröffentlichte zwei neue Security Bulletins zu faq und zu phpmyadmin:

| Ganzen Beitrag lesen …