TYPO3weblog.de

Heute erschien ein neues TYPO3 Security Bulletin.

Von den 19 betroffenen Extensions wurden lediglich vier Extensions gefixt:

• aba_watchdog
• car
• dr_blob
• nl_listman

Bei den anderen 15 Extensions wurden keine Patches zur Behebung eingereicht oder der Autor konnte oder wollte nicht erreicht werden. Diese Verhältnis gibt mir ein wenig zu denken. Jeder Entwickler macht einmal Fehler, auch in einer meiner Extensions gab es bereits einmal ein Sicherheits-Leck. Selbstverständlich wurde umgehend das Problem behoben und ein Updates ins TER gestellt. Wie seht Ihr das? Warum werden so wenig Extensions nach der Veröffentlichung noch betreut? Auch wenn man keine Zeit mehr für eine Weiterentwicklung hat, so sollte meiner Meinung der Autor doch wenigstens sicherheitsrelevante Fixes durchführen. Oder sehe ich das einfach nur zu eng?

Das Security-Team hat heute im Collective Security Bulletin TYPO3-SA-2009-010 eine Liste von Extensions veröffentlicht, die verschiedene Sicherheitslücken aufweisen. Ein Update ist dringend anzuraten. Hier die Liste der betroffenen Extensions:

• “CoolURI” (cooluri)
• “Reset backend password” (cwt_resetbepassword)
• “datamints Newsticker” (datamints_newsticker)
• “[Gobernalia] Front End News Submitter” (gb_fenewssubmit)
• “Mailform” (mailform)
• “Myth download” (myth_download)
• “Tour Extension” (pm_tour)
• “Twitter Search” (twittersearch)
• “Webesse E-Card” (ws_ecard)
• “Webesse Image Gallery” (ws_gallery)

Auffällig ist, dass es sich in sieben Fällen um SQL Injections handelt. Bis auf cwt_resetbepassword, gb_fenewssubmit, myth_download, ws_ecard und ws_gallery gibt es für alle Extensions ein Update. Bei den eben genannten Extensions war es dem Security Team nicht möglich mit den Autoren in Kontakt zu treten. Alle Informationen könnt ihr auch dem Collective Security Bulletin TYPO3-SA-2009-010 entnehmen.

In der gestrigen Sendung von Planetopia wurde TYPO3 als die böse unsichere Software dargestellt. Wie zusammenhanglos dies war, berichtete bereits Johannes Krausmüller. Ich habe diesen Beitrag auch gesehen, für mich hat Planetopia damit den Vogel abgeschoßen und wandert somit auf meine persönliche Blacklist von TV-Sendungen. Auf der Website von Planetopia findet man den Beitrag leider nicht als Video, dafür jedoch eine Art Abschrift. Es kam in dem Beitrag der Fachjounalist Olaf Pursche von Computer BILD zu Wort:

Die Möglichkeit für die Hacker liegt da, wo z.B. eine unsichere Software genutzt wird, z.B. die Typo3-Software.

Der Experte ist also der Meinung, das TYPO3 eine “unsichere Software” ist. Ein toller Experte. Ich glaub ich weiß schon, warum ich mir noch nie eine Computer BILD gekauft habe :D

Immerhin wurde noch ein Punkt zur Sprache gebracht, den ich für gut befinde:

wer nicht regelmäßig updatet, ist in Gefahr.

Also immer dran denken die aktuellen Versionen bzw. zumindest die Sicherheits-Patches einzuspielen ;-)

Wie Heise heute morgen berichtet wurde die Website von unserem Bundesinnenminister Wolfgang Schäuble durch die gestern bekannt gewordene Sicherheitslücke in TYPO3 gehackt. Eigentlich war es genau genommen ein Defacement, denn auf der Seite wurde gut sichtbar ein Link zu dem Projekt Vorratsdatenspeicherung angebracht. In dem Bericht bei Heise wird noch auf andere Sicherheitsproblem der Website hingewiesen. Ein wie ich finde sehr interessanter Artikel ;)

Ich habe vor wenigen Minuten von t3orgissue[AT]typo3.org eine Email erhalten, in der mir mitgeteilt wurde, dass typo3.org gehackt wurde und der Angreifer Zugang zu Benutzerdaten und Passwörtern hatte.

Der Login auf typo3.org wurde erstmal abgeschaltet, und eine FAQ wurde eingerichtet.

Außer dieser Mail habe ich noch keine weiteren Infos erhalten, auch eine offizielle News auf typo3.org konnte ich nicht finden.

In der Mail heisst es:

The offender had access to website user details including their passwords, and there have been reports of this data being used to access other websites.
It also has to be expected that the data may have been disclosed to third parties.

Der Login funktioniert aktuell tatsächlich nicht auf typo3.org. Ich denke diese Mail ist kein Fake, denn auch ein Kollege hat diese Mail bereits erhalten. Ich bin sehr gespannt ob und wann es dazu eine offizielle News geben wird.

Wenn dies alles so stimmt, dann ist dies erschreckend. Da fragt man sich doch, wozu es Verschlüsselungen gibt. Die Passwörter müssten auf typo3.org dann ja im Klartext gespeichert worden sein. -.-

Hier die Mail als Ganzes.

Update [14.11. 14:31]: Laut Robert Lemke waren die Passwörter md5 verschlüsselt, das Passwort welches verwendet wurde, war lediglich zu einfach.

Update [15.11. 00:16]: Soeben kam auch eine offizielle News auf typo3.org rein. Inhaltlich leider noch nichts neues. Angeblich ist die News bereits 21 Stunden alt, vielleicht ein Cache Problem?

Update [15.11. 14:14]: Inzwischen haben bereits auch Heise und T3N darüber berichtet.