rdombach
Avatar rdombach
Themenersteller
Security-Admin
Content Halbgott (608 Beiträge)

Vulnerability in TYPO3

am 08.10.2010, 16:51 Uhr eröffnete rdombach folgenden Thread
Sicherheitslücken    2181 mal gelesen    3 Antwort(en).

Hallo alle miteinander,

bei HEISE gibt es einen Bericht über eine Lücke in TYPO3.
Vielleicht kann jemand, der sich mit TYPO3 auskennt, hierzu eine Hilfe/Einschätzung bzw. Stellungnahme abgeben.
Beste Grüße (vom Nicht-TYPO3-Nutzer)

Ralph


www.heise.de/newsticker/meldung/Luecke-in-Typo3-Wenn-gleich-nicht-identisch-ist-1103752.html


Bitte nicht vergessen, Virenscanner und Co. zu aktualisieren!
SecuTipp: GRATIS Security-Informationen für die eigene Webseite und [url="http://twitter.com/secuteach"][img]http://w

lwulfe
Avatar lwulfe
Consultant
Content Halbgott (743 Beiträge)
am 08.10.2010, 17:54 Uhr schrieb lwulfe

Der aufmerksame Ralph!
Ein kritischer Sicherheitsmangel. Typo3 fragt bei der Zugriffskontrolle nur ab, ob die Hashes gleich sind ($juHash == $calcJuHash) und nicht, ob sie identisch sind ($juHash === $calcJuHash). Abhilfe schafft im File typo3/sysext/cms/tslib/class.tslib_fe.php
------------------------
if ($juHash == $calcJuHash) {
------------------------
gegen
------------------------
if ($juHash === $calcJuHash) {
auszutauschen oder, seit dem 6.10. der Einsatz des neuen Release.
Ich habe die Reaktionszeit des Security Teams mal über den Typo3 Bugtracker:
bugs.typo3.org/view.php verfolgt.
Fehler gemeldet: 05.10.10 01:42 Uhr
Ankündigung für neues Release mit Fehlerbehebung: 05.10.10 10:37 Uhr
Neues Release zum Download: 06.10.10 11:00 Uhr
Für Typo3 wird übrigens CVSS (Common Vulnerability Scoring System) eingesetzt, was immer das auch ist (Ralph?).


rdombach
Avatar rdombach
Security-Admin
Content Halbgott (608 Beiträge)
am 08.10.2010, 19:53 Uhr schrieb rdombach

lwulfe schrieb:

Für Typo3 wird übrigens CVSS (Common Vulnerability Scoring System) eingesetzt, was immer das auch ist (Ralph?).



Hallo alle miteinander,

CVSS ist eine Bewertungssystem, mit dem man einen Wert ermitteln kann, der Auskunft über die "Gefährlichkeit" einer Lücke/Vulnerability gibt. Anstatt sich auf individuelle Begriffe wie "Gering", "Mittel" oder "Hoch" zu verlassen, gibt es eine Formel, nach der sich ein Zahlenwert berechnen läßt.
Vorteil dabei ist, man kann nun z.B. Lücken von merhrerne Produkten vergleichen und z.B. die gefährlichsten zuerst beheben.
Man kann auch sagen, dass z.B. die 20 Lücken bei Produkt A bei weitem nicht so schwerwiegend waren, wie die 3 von Produkt B. CVSS macht es halt alles etwas transparenter und besser darstellbar.
Im Endeffekt ist es aber gleich, Vulnerabilitys gehören behoben

Wie Lutz schon sagte -> "Kritisch", also den Fehler umgehend beheben!

Grüße Ralph

PS: Hier gibts lesefreundliche Backgroundinfos dazu ...
blog.psi2.de/2010/04/02/cvss-scores-selbst-berechnen-und-anwenden/


Bitte nicht vergessen, Virenscanner und Co. zu aktualisieren!
SecuTipp: GRATIS Security-Informationen für die eigene Webseite und [url="http://twitter.com/secuteach"][img]http://w

lwulfe
Avatar lwulfe
Consultant
Content Halbgott (743 Beiträge)
am 08.10.2010, 20:47 Uhr schrieb lwulfe

Danke Ralph für die Erklärung!
Ich würde diesen Thread gerne zum Anlass nehmen, nach euren Erfahrungen über die Qualität der Fehlerbeseitigung, Reaktionzeiten, u. ä. mit euren CMS zu fragen.
Gibt es einen Bugtracker, werden kritische Fehler zeitgerecht beseitigt, gibt es ein öffentliches Informationssystem?


  • 1


« zurück zu: Sicherheitslücken

Das Seitenreport Forum hat aktuell 5267 Themen und 36089 Beiträge.
Insgesamt sind 48167 Mitglieder registriert.