Skip to content
< Vorheriger Eintrag | Nächster Eintrag >

Dienstag, 10. Februar 2009, 17:51

Gefährliche Lücke in Typo3

Für alle, die Typo3 einsetzen, hier ein wichtiger Hinweis:
http://typo3.org/teams/security/security-bulletins/typo3-sa-2009-002
Wir haben soeben alle Webhosting-Kunden, die Typo3 einsetzen *, angeschrieben, und drauf aufmerksam gemacht.

* Wer sich dafür interessiert, wie wir das ermittelt haben: Wir haben einfach alle Accounts, die die Datei class.tslib_fe.php enthalten, als Datengrundlage herangenommen!

Kommentare

Ansicht der Kommentare: Linear | Verschachtelt

krisz

Ist es erlaubt, dass ihr einfach so die Dateien eurer Kunden durchsucht? Also bitte verstehe das nicht falsch, ich will dich nicht dafür kritisieren (wahrscheinlich wäre ich auch froh über die Nachricht, wenn ich Typo3 benutzen würde), und das war ja eine automatisierte Suche ohne irgendwelche Personalisierung (ich nehme mal an, dass ihr keine Praktikanten für das manuelle Durchsuchen bezahlt ;) ). Mich würde nur die rechtliche Sache daran interessieren. Ich nehme auch an, ihr habt nur die Dateien Webhosting-Kunden durchsucht, oder führt ihr das auch bein den Server-Kunden durch?
Bei He***er habe ich gleich zwei E-Mails zu diesem Thema bekommen, ohne dass mein Server irgendwie mit Typo3 in Verbindung zu bringen wäre.

Manuel Schmitt (manitu)

a) Wir haben nur nach Dateinamen gesucht, nicht nach dem Inhalt, daher ging das Mailing auch an alle Kunden, die nicht betroffen sind (da schon geupdatet)

b) wir haben keinen Zugriff auf Server von Kunden (außer, dass wir sie abschalten können ;-) ), aber nicht inhaltlich, und das geht uns nichts an. Wer einen Server betreibt, muss wissen, was er tut. Beim Webhosting sieht das anders aus, da sehe ich eine gewisse moralische Pflicht, zu helfen, sofern möglich.

matrikelnummer

Danke für den Hinweis! Update läuft gerade ;-)

Benjamin

Schäuble ist da wohl das erste prominente Opfer:
http://de.tinypic.com/view.php?pic=15fpuh1&s=5

Peter Schneider

Vielen Dank für den Blogeintrag!
Ohne diesen hätte ich das Update 4.2.4 auf 4.2.6 wohl nicht auf meinem Rootserver durchgeführt ;-)

Kommentar schreiben

Umschließende Sterne heben ein Wort hervor (*wort*), per _wort_ kann ein Wort unterstrichen werden.
Standard-Text Smilies wie :-) und ;-) werden zu Bildern konvertiert.
Die angegebene E-Mail-Adresse wird nicht dargestellt, sondern nur für eventuelle Benachrichtigungen verwendet.

Um maschinelle und automatische Übertragung von Spamkommentaren zu verhindern, bitte die Zeichenfolge im dargestellten Bild in der Eingabemaske eintragen. Nur wenn die Zeichenfolge richtig eingegeben wurde, kann der Kommentar angenommen werden. Bitte beachten Sie, dass Ihr Browser Cookies unterstützen muss, um dieses Verfahren anzuwenden.
CAPTCHA

BBCode-Formatierung erlaubt
Formular-Optionen