Feb 19

Wie Gina und Thomas eben bekannt gegeben haben, stehen ab sofort die Torrents der DVDs der 4. TYPO3 Konferenz 2008 zur Verfügung. Viel Spaß beim Saugen und vor allem vielen Dank an Gina und Thomas für die ganze Arbeit!!

P.S.: Seeden nicht vergessen :-)

Feb 10

Wie bereits gestern angekündigt, erfolgte heute das Sicherheitsupdate für übrigens *alle* TYPO3 Versionen – von 3.3 bis hin zur aktuellen 4.3alpha1.

Auf der offiziellen Seite gibt es weitere Informationen hierzu.

Das Problem liegt diesemal in der Datei typo3/sysext/cms/tslib/class.tslib_fe.php. In der dort enthaltenen Funktion jumpUrl()  wird ein MD5-Hash aus JumpUrl, locationData und encryptionKey errechnet und gegen den ebenfalls übermittelten juHash-Wert geprüft. Sind diese beiden nicht identisch, liegt(wahrscheinlich) eine Manipulation vor und es wird eine Fehlermeldung ausgegeben. In dieser wird aber der errechnete Hash ausgegeben – somit weiss ein Angreifer, welcher Wert erwartet wird und kann somit die Parameter solange manipulieren, bis eine Übereinstimmung der beiden Werte eintrifft. Damit ist es dann möglich, beliebige Dateien herunterladen (zu lassen) – insbesondere die Datei “localconf.php” um damit an das Install-Tool Passwort zu gelangen (welches u.U. mittels Rainbow-Tables entschlüsselt werden könnte) oder die Passwörter für die Datenbank.

Irgendwo um Zeile 2542 herum befindet sich folgender Code:

} else die('jumpurl Secure: Calculated juHash, '.$calcJuHash.', did not match the submitted juHash.');

Letztlich muss nur die Ausgabe der Variablen $calcJuHash verhindert werden. Wer schnell mit der Shell ist, kann einfach die Datei öffnen und die Ausgabe löschen. Ansonsten gibt es ein Shell-Programm, welches die entsprechende Stelle patcht oder natürlich gänzlich neue Versionen des Cores.

Feb 9

Morgen, den 10.02.2009 um 10:00 Uhr wird es laut TYPO3 Security Team wieder sehr wichtige Sicherheitsupdates für den Core geben! Man kann also wieder etwas Zeit einplanen um alle Instanzen hochzuziehen.

Scheinbar handelt es sich um ein gaaaaaaz altes Problem – wenn man sich die Liste der geplanten Patches anschaut. Und zwar für die Versionen:

Updates for TYPO3 versions 4.2.x, 4.1.x and 4.0.x, as well as patches for versions 3.3, 3.5, 3.6, 3.7, 3.8 and 4.3alpha1

Dabei fällt mir ein… gäbe es nicht die Möglichkeit ein sogenanntes inkrementelles Update einzubauen? Das wäre doch mal was – ein Knopfdruck, ein paar Korrekturen (falls nötig) und schwups – ist das Security Update drüber gebügelt.