# Lücke in TYPO3



## hahni (11. Feb. 2009)

Hallo zusammen,

wie bei heise.de und anderen Quellen zu entnehmen, gibt es bei TYPO3 mal wieder eine kleine Sicherheitslücke zu vermelden:

http://www.heise.de/newsticker/Luec...ugriff-auf-beliebige-Dateien--/meldung/132298

Was muss man bei einer ISPConfig-Installation beachten? Oft weiß man gar nicht, welcher Kunde das CMS im Einsatz hat.

Kann der Angreifer über den Webspace des jeweiligen Benutzer hinaus auf Daten zugreifen? Also wenn er beispielsweise "web999" hat, auf die "/etc/passwd" und "/etc/shadow", oder nur Ärger im jeweiligen Webspace?

Viele Grüße

Hahni


----------



## Quest (11. Feb. 2009)

Soweit ich das richtig verstehe geht es nur um einen Angriff auf Typo3 selbst.
Die Sicherheitslücke hat aber auch was gutes gebracht, siehe hier


----------



## Till (12. Feb. 2009)

> Was muss man bei einer ISPConfig-Installation beachten?


garnichts. Da Typo3 != ISPConfig 



> Kann der Angreifer über den Webspace des jeweiligen Benutzer hinaus auf Daten zugreifen? Also wenn er beispielsweise "web999" hat, auf die "/etc/passwd" und "/etc/shadow", oder nur Ärger im jeweiligen Webspace?


Das hängt von Deiner Serverkonfiguration und Deinen PHP Einstellungen ab, ist aber auch nicht ISPConfig spezifisch.


----------



## planet_fox (21. Feb. 2009)

hat das mit openbasedir zu tun till und das versteh ich nicht



> Da Typo3 != ISPConfig


----------



## hahni (22. Feb. 2009)

Was meinst du mit PHP-spezifisch? PHP-Safe Mode? Suhosin-Patch?


----------



## Till (22. Feb. 2009)

Ich habe nichts von php-spezifisch geschrieben. Ich habe gesagt dass es nicht ispconfig spezifisch ist, also auf jegliche Art von apache und php Installationen zutrifft.


----------



## hahni (22. Feb. 2009)

Mahlzeit Till,

und welche Möglichkeiten würdest du dann ergreifen, um sicherzustellen, dass diese Lücke keine Auswirkungen auf die Server-Sicherheit hat (außer jede Webpräsenz nach TYPO3 zu sichten)...

Viele Grüße

Hahni


----------



## Till (22. Feb. 2009)

Ganz einfach, Du nimmst das Script was in der obigen Meldung genannt ist und das macht alles automatisch für Dich.


----------



## hahni (22. Feb. 2009)

Dieses arbeitet Präsenzübergreifend?


----------



## Till (22. Feb. 2009)

Ja, schau es Dir doch einfach erstmal mal an. Dann siehst Du dass es alles beginnend ab dem Verzeichnis / durchsucht und patcht.


----------



## hahni (22. Feb. 2009)

Ja, allerdings steht beim erneuten Aufruf wieder "fixing file" da. Und wenn was gefixt worden wäre (das Script sucht und ersetzt), sollte das doch nicht der Fall sein...?


----------



## Till (22. Feb. 2009)

Das Script funktioniert schon. Du kannst ja die Dateien selbst vergleichen, wenn Du es nicht glaubst


----------



## hahni (22. Feb. 2009)

Perfekt, wieder ein Problem gelöst...


----------



## planet_fox (23. Feb. 2009)

Ich meine wenn ich festlege das mit open base dir die scripte nicht aus /var/www dürfen können die doch nicht daten in /etc ändern ?


----------



## Till (23. Feb. 2009)

Das ist richtig. Zumindest Wenn Du auch Funktionen wie exec und system deaktiviert hast und es keine Sicherheitslücke in php gibt.


----------

