Security Alarm: Extension VTS (de_phpot) wegen Sicherheitsmängeln zurückgezogen

Posted 16. April 2008 by Ekkehard Gümbel
under Security Alarm
5 comments

Seit längerem gab es heute wieder mal Advisories des TYPO3 Security Teams: Betroffen ist zunächst die “Visitor Tracking System” Extension (VTS, Extension-Schlüssel “de_phpot”).

Als negatives Novum muss gelten, dass der Extension-Autor nicht zur Behebung erreicht werden konnte – Konsequenz: Die Extension ist nun aus dem Repository verbannt. Der Verlust dürfte verschmerzbar sein, da das performanceintensive VTS (internes Protokollieren jedes Mausklicks) schon seit langem als ungünstige Lösung gilt.

Die verschiedenen Probleme – SQL Injection, Information Disclosure, Denial of Service – die von Henning Pingel aufgedeckt wurden, sind als schwerwiegend eingestuft. Details finden sich wie immer im offiziellen Security Bulletin.Insbesondere wird darauf hingewiesen, dass die Extension nicht nur deaktiviert, sondern auch deinstalliert werden sollte.

5 comments so far, add yours

TYPO3 4.1.4 und 4.0.8 mit kleinerem Security-Fix

Posted 10. Dezember 2007 by Ekkehard Gümbel
under Security Alarm
5 comments

Die heute veröffentlichten Versionsupdates auf 4.1.4 und 4.0.8 beinhalten die Behebung einer Sicherheitslücke in indexed_search – eine Systemextension, die zum Standardumfang von TYPO3 gehört. Das Problem wird allerdings als eher unkritisch eingeschätzt: Es geht um die Möglichkeit von SQL Injection, allerdings nur für angemeldete Backend-Benutzer.

Was bedeutet das? Ein Redakteur könnte – mit sehr viel Knowhow, und erheblicher Mühe – unter bestimmten Umständen Datenbankkommandos absetzen und damit zum Beispiel unberechtigt Inhalte verändern oder auch Administrator werden. Aus Sicherheitssicht dürfte dieses Update also vor allem für Anwender mit einer großen Gruppe von (oder mit wenig vertrauenswürdigen) Backend-Benutzern, oder mit generell hohem Schutzbedarf von Bedeutung sein.

Das offizielle Bulletin dazu findet sich wie üblich unter http://typo3.org/teams/security/security-bulletins/typo3-20071210-1/.

5 comments so far, add yours

Alles so schön ruhig…?

Posted 6. Dezember 2007 by Ekkehard Gümbel
under Allgemein, Hintergrund
2 comments

Nicht nur hier im Blog, sondern überhaupt in der TYPO3 Security Szene scheint momentan vorweihnachtliche Besinnlichkeit eingekehrt zu sein: Keine Bulletins, relative Ruhe an der Hacker-Front, aber auch keine Verlautbarungen über Fortschritte z.B. in Sachen WAF oder Security in 4.2. Mein Eindruck ist, dass momentan überall der Jahresend-Stress dominiert. Dennoch tut sich hinter den Kulissen einiges Positives, ich hoffe das eine oder andere davon ist demnächst endlich öffentlich.

Abgesehen davon habe ich mit verschiedenen Leuten darüber diskutiert, an dieser Stelle nicht nur reaktiv zu berichten, sondern auch gelegentlich”Best Practices” zu Sicherheits-Themen darzustellen. Mit dem Ergebnis: Ja, es scheint wohl genug Interesse und auch Themen zu geben. Also geht das los! Continue Reading

TYPO3 Honeypot: Zero Day Exploits – aber (noch) nicht für TYPO3

Posted 5. Oktober 2007 by Ekkehard Gümbel
under Hintergrund
2 comments

So nach und nach wird unser Honigtopf immer interessanter – heute ging uns gerade der zweite Zero Day Exploit ins virtuelle Netz. Erneut (und: zum Glück) betraf es aber nicht TYPO3, sondern ein anderes CMS, und die Lücke haben wir natürlich brav dem Hersteller gemeldet. Und erneut handelt es sich um eine “Remote File Inclusion” Lücke; es fällt auf, dass inzwischen sehr viele Scans nach solchen – leicht ausnutzbaren – Verwundbarkeiten suchen. Was zumindest im Mittel zu der Feststellung führt: Auch die Hacker werden immer fauler. ;- ) Continue Reading

T3CON07: OpenID für TYPO3 veröffentlicht

Posted 22. September 2007 by Ekkehard Gümbel
under TYPO3 Features
3 comments

Hüstel… und hier noch ein Bericht in eigener Sache von der TYPO3-Konferenz: Am heutigen Samstag, zu geradezu nachtschlafener Zeit, durfte ich in einem weiteren Vortrag unsere neue Extension zur Einbindung von OpenID in TYPO3 vorstellen; inklusive der Vorführung “OpenID in die TYPO3-Website einbinden – in 3 Minuten”. Die Extension, die Didi Heise entwicklet hat, ist ab sofort im TER, und die Präsentation findet sich unter http://www.naw.info/t3con07. Continue Reading

T3CON07: TYPO3 Hacking Live

Posted 21. September 2007 by Ekkehard Gümbel
under Probleme und Bedrohungen
No comments yet

Immer wieder wird betont, wie wichtig das Sicherheitsbewusstsein der Programierer ist. Schon auf früheren T3CON’s gab es daher sowohl Vorträge als auch Tutorials, die zum einen Sicherheitsprobleme wie Cross Site Scripting (XSS), SQL Injection oder Remote File Inclusion erklärten, zum anderen auch zeigten, wie Entwickler solche Lücken vermeiden können.

Auch Lars Houmark und Henning Pingel taten das in ihrem heutigen Vortrag, gingen aber noch einen Schritt weiter: Sehr anschaulich demonstrierte Lars, wie er scriptgestützt eine beliebige SQL Injection Schwachstelle ausnutzen kann (per “Blind SQL Injection”) und erlangte auf dieser Basis in kürzester Zeit Admin-Zugriff auf das angegriffene System. Continue Reading

T3CON07: Die TYPO3-Firewall kommt

Posted by Ekkehard Gümbel
under TYPO3 Features
10 comments

Eine spannende Neuigkeit gab es gleich zum Anfang des Konferenzteils der diesjährigen TYPO3-Konferenz T3CON07: Lars Jensen, zuständiger Projektleiter im Security Team, kündigte die Bereitstellung einer “TYPO3-Firewall” an, genauer gesagt einer Web Application Firewall (WAF) auf Basis von mod_security. Continue Reading

Security Alarm: “mm_forum” mit massiven Sicherheitslücken

Posted 19. September 2007 by Ekkehard Gümbel
under Security Alarm
One comment

Für die recht junge, aber mächtige Forums-Extension “mm_forum” wurde heute eine Vielzahl von Sicherheitslücken gemeldet – wie üblich in Form eines TYPO3 Security Bulletins und in Verbindung mit der Bereitstellung einer gefixten Version. Continue Reading

TYPO3 Honeypot: Die Bären sind los…

Posted 12. September 2007 by Ekkehard Gümbel
under Hintergrund
2 comments

Es ist ja schon etwas her, dass ich einen TYPO3-Honeypot aufgesetzt und hier um Mithilfe per Backlink gebeten hatte. Vielen Dank an alle, die mitgemacht haben!

Inzwischen zeigen sich vermehrt Resultate. Direkte Trafficweiterleitungen haben wir leider nicht bekommen, aber die Seite wird inzwischen auch so, also dank Google und Links, vermehrt gefunden – und zwar wie erhofft auch durch die “bösen Jungs”.

Allerdings war bisher noch nichts explizit TYPO3-orientiertes dabei… Hier die bisherigen Top-3 Systeme, auf deren Lücken gescannt wird:

Continue Reading

Security Alarm: Zero-Day Exploit in älteren “ve_guestbook” Versionen

Posted 1. August 2007 by Ekkehard Gümbel
under Security Alarm
No comments yet

Das TYPO3 Security Team hat heute ein weiteres Security Bulletin herausgegeben. Betroffen ist die mit 35.000 Downloads sehr verbreitete Gästebuch-Erweiterung “ve_guestbook” (u.a. eingesetzt im TYPO3-Blogsystem “TIMTAB”), allerdings nur in Versionen kleiner als 1.9.4.

Da es sich hierbei sowohl um Cross Site Scripting als auch um ein “SQL Injection” Problem handelt, wird es als schwerwiegend eingestuft.

Anwender-Berichte, die beim Security Team eingegangen sind, weisen darauf hin, dass diese Lücke in Hackerkreisen bereits bekannt ist, und gezielt gesucht und ausgenutzt wird. Wer also noch eine alte Version (< 1.9.4) verwendet, sollte diese dringend aktualisieren!

Details finden sich im offiziellen Security Bulletin.

Leave the first comment
Older Entries
Newer Entries