Lücke in TYPO3

Dieses Thema im Forum "Server Administration" wurde erstellt von hahni, 11. Feb. 2009.

  1. hahni

    hahni Active Member

    Hallo zusammen,

    wie bei heise.de und anderen Quellen zu entnehmen, gibt es bei TYPO3 mal wieder eine kleine Sicherheitslücke zu vermelden:

    http://www.heise.de/newsticker/Luec...ugriff-auf-beliebige-Dateien--/meldung/132298

    Was muss man bei einer ISPConfig-Installation beachten? Oft weiß man gar nicht, welcher Kunde das CMS im Einsatz hat.

    Kann der Angreifer über den Webspace des jeweiligen Benutzer hinaus auf Daten zugreifen? Also wenn er beispielsweise "web999" hat, auf die "/etc/passwd" und "/etc/shadow", oder nur Ärger im jeweiligen Webspace?

    Viele Grüße

    Hahni
     
  2. Quest

    Quest Member

    Soweit ich das richtig verstehe geht es nur um einen Angriff auf Typo3 selbst.
    Die Sicherheitslücke hat aber auch was gutes gebracht, siehe hier
     
  3. Till

    Till Administrator

    garnichts. Da Typo3 != ISPConfig ;)

    Das hängt von Deiner Serverkonfiguration und Deinen PHP Einstellungen ab, ist aber auch nicht ISPConfig spezifisch.
     
  4. planet_fox

    planet_fox Super-Moderator

    hat das mit openbasedir zu tun till und das versteh ich nicht

     
  5. hahni

    hahni Active Member

    Was meinst du mit PHP-spezifisch? PHP-Safe Mode? Suhosin-Patch?
     
  6. Till

    Till Administrator

    Ich habe nichts von php-spezifisch geschrieben. Ich habe gesagt dass es nicht ispconfig spezifisch ist, also auf jegliche Art von apache und php Installationen zutrifft.
     
  7. hahni

    hahni Active Member

    Mahlzeit Till,

    und welche Möglichkeiten würdest du dann ergreifen, um sicherzustellen, dass diese Lücke keine Auswirkungen auf die Server-Sicherheit hat (außer jede Webpräsenz nach TYPO3 zu sichten)...

    Viele Grüße

    Hahni
     
  8. Till

    Till Administrator

    Ganz einfach, Du nimmst das Script was in der obigen Meldung genannt ist und das macht alles automatisch für Dich.
     
  9. hahni

    hahni Active Member

    Dieses arbeitet Präsenzübergreifend?
     
  10. Till

    Till Administrator

    Ja, schau es Dir doch einfach erstmal mal an. Dann siehst Du dass es alles beginnend ab dem Verzeichnis / durchsucht und patcht.
     
  11. hahni

    hahni Active Member

    Ja, allerdings steht beim erneuten Aufruf wieder "fixing file" da. Und wenn was gefixt worden wäre (das Script sucht und ersetzt), sollte das doch nicht der Fall sein...?
     
  12. Till

    Till Administrator

    Das Script funktioniert schon. Du kannst ja die Dateien selbst vergleichen, wenn Du es nicht glaubst ;)
     
  13. hahni

    hahni Active Member

    Perfekt, wieder ein Problem gelöst...

    :)
     
  14. planet_fox

    planet_fox Super-Moderator

    Ich meine wenn ich festlege das mit open base dir die scripte nicht aus /var/www dürfen können die doch nicht daten in /etc ändern ?
     
  15. Till

    Till Administrator

    Das ist richtig. Zumindest Wenn Du auch Funktionen wie exec und system deaktiviert hast und es keine Sicherheitslücke in php gibt.
     

Diese Seite empfehlen