Lücke in TYPO3

hahni

Active Member
Hallo zusammen,

wie bei heise.de und anderen Quellen zu entnehmen, gibt es bei TYPO3 mal wieder eine kleine Sicherheitslücke zu vermelden:

http://www.heise.de/newsticker/Luecke-in-Typo3-ermoeglicht-Zugriff-auf-beliebige-Dateien--/meldung/132298

Was muss man bei einer ISPConfig-Installation beachten? Oft weiß man gar nicht, welcher Kunde das CMS im Einsatz hat.

Kann der Angreifer über den Webspace des jeweiligen Benutzer hinaus auf Daten zugreifen? Also wenn er beispielsweise "web999" hat, auf die "/etc/passwd" und "/etc/shadow", oder nur Ärger im jeweiligen Webspace?

Viele Grüße

Hahni
 

Quest

Member
Soweit ich das richtig verstehe geht es nur um einen Angriff auf Typo3 selbst.
Die Sicherheitslücke hat aber auch was gutes gebracht, siehe hier
 

Till

Administrator
Was muss man bei einer ISPConfig-Installation beachten?
garnichts. Da Typo3 != ISPConfig ;)

Kann der Angreifer über den Webspace des jeweiligen Benutzer hinaus auf Daten zugreifen? Also wenn er beispielsweise "web999" hat, auf die "/etc/passwd" und "/etc/shadow", oder nur Ärger im jeweiligen Webspace?
Das hängt von Deiner Serverkonfiguration und Deinen PHP Einstellungen ab, ist aber auch nicht ISPConfig spezifisch.
 

Till

Administrator
Ich habe nichts von php-spezifisch geschrieben. Ich habe gesagt dass es nicht ispconfig spezifisch ist, also auf jegliche Art von apache und php Installationen zutrifft.
 

hahni

Active Member
Mahlzeit Till,

und welche Möglichkeiten würdest du dann ergreifen, um sicherzustellen, dass diese Lücke keine Auswirkungen auf die Server-Sicherheit hat (außer jede Webpräsenz nach TYPO3 zu sichten)...

Viele Grüße

Hahni
 

Till

Administrator
Ganz einfach, Du nimmst das Script was in der obigen Meldung genannt ist und das macht alles automatisch für Dich.
 

Till

Administrator
Ja, schau es Dir doch einfach erstmal mal an. Dann siehst Du dass es alles beginnend ab dem Verzeichnis / durchsucht und patcht.
 

hahni

Active Member
Ja, allerdings steht beim erneuten Aufruf wieder "fixing file" da. Und wenn was gefixt worden wäre (das Script sucht und ersetzt), sollte das doch nicht der Fall sein...?
 

Till

Administrator
Das Script funktioniert schon. Du kannst ja die Dateien selbst vergleichen, wenn Du es nicht glaubst ;)
 

planet_fox

Super-Moderator
Ich meine wenn ich festlege das mit open base dir die scripte nicht aus /var/www dürfen können die doch nicht daten in /etc ändern ?
 

Till

Administrator
Das ist richtig. Zumindest Wenn Du auch Funktionen wie exec und system deaktiviert hast und es keine Sicherheitslücke in php gibt.
 

Werbung

Top