Druckbare Version
Eine schwere Sicherheitslücke wurde im TYPOlight-Installtool entdeckt, die es jedem ermöglicht, die Passwort-Abfrage zu umgehen und die Datenbank-Zugangsdaten sowie - falls der Safe Mode Hack verwendet wird - FTP-Zugangsdaten auszulesen. Um das Problem zu beheben, aktualisieren Sie auf die neueste Version (2.7.6) oder installieren Sie einen der folgenden Patches!
Ganzen Beitrag zu 'Schwere Sicherheitslücke im TYPOlight-Installtool' lesen
... und das vor Weihnachten :eek: ;)
vielen Dank für die Info und die verschiedenen Problemlösungen !
Ich hoffe es ist niemand dadurch ein Schaden entstanden
Hallo!
Mag am Cache liegen, habe aber keine Anzeige zur Aktualisierung mit Live-ID bekommen.
Beim Anstoßen der Aktualisierung hat er aber ohne Probleme aktualisiert.
HI
das ist immer so, TL prüft nur alle 24 Stunden auf Updates. Ich hoffe, bei mir ist bisher nichts passiert, mal schnell updaten gehen.
Danke Leo für de Patch!
Sebastian
Auch von mir: DANKE!
Gruß, Frank
PS: Wie, wem bzw. wodurch ist das denn aufgefallen
Ist man geschützt, wenn in der install.php ein exit am anfang drin war?
Muss man dann nur den Patch einspielen?
Ja, die exit;-Anweisung macht einen Exploit ebenfalls unmöglich. In diesem Fall muss nur der Patch eingespielt werden.
ich hab jetzt die 2.7.6 manuell installiert, aber die backend anzeige ändert sich nicht.
Also laut Backend hab ich immer noch die Version 2.7.5.
Install Tool hab ich aufgerufen.
Gehts bei euch ?
@leo Danke für den Patch und die Benachrichtigung über die Lücke.
Nach manuellen Einspielen des Patches (kopieren und ersetzen der beiden PHP-Dateien). Funktionierte mein altes Passwort in der install.php nicht mehr :-( Erst nach Löschen der Zeile installPassword aus der localconfig.php konnte ich mit dem TL Standard Passwort ein neues Passwort festlegen.
Wie funktioniert das mit der .htaccess Datei genau? Muss ich hier noch eine extra .htpasswd anlegen und wo liegt diese am sichersten? Könnte man auch auf die Nutzung von TL-BackEnd Nutzer verlinken?
Ein kleiner Fehler im Sourceforge-Paket, den ich inzwischen behoben habe. Öffne die Datei system/constants.php und trage bei BUILD eine 6 ein. Wichtig ist jedoch nicht die Buildnummer, sondern dass die install.php und ftp.php den aktuellen Code aus dem Patch enthalten!Zitat:
Zitat von Sarvo
Wo finde ich denn Informationen darüber, was die Sicherheitslücke überhaupt war?
Habe aber dank des Live-Update Systems gleich die neue Version eingespielt :D
Ein kurzes Danke für das schnelle bereitstellen von den Patch Versionen.
Sowas kann sich sehen lassen. Schön schnelle Reaktionszeiten.
Also noch mal ein Danke!
Viele Grüße
auch von mir danke schön für die schnelle Bereitstellung einer Lösung.
Vielen Dank Leo
Danke Leo für die schnelle Reaktion und das Bereitstellen der Patches gleich für die letzten 4 Versionen.
So konnte ich schnell per FTP alle Installationen patchen, dabei sieht man erstmal, wieviele TYPOlights man schon erstellt hat.
Hallo zusammen,
erstmal Danke für die versch. Behebungsmöglichkeiten.
Ich wüsste gerne weitere Details zur Lücke, z.B. wann wurde sie entdeckt, von wem und wie kam sie zustande? Gab es einen konkreten Fall in dem ein System gehackt wurde?
Ich verstehe, dass (noch) nicht alle Details offengelegt werden können, aber ich betreue mehrere Typolight-Installationen für Kunden und möchte für diese zumindest ein paar Informationen parat haben.
Beste Grüsse,
Lloyd
Dann ist das Wochenende gerettet :-)
Auf jeden Fall Danke für schnellen und offenen Umgang mit dem Thema.
ja, da schließe ich mich an.
Danke
Schöne und schnelle Reaktion (es sei denn die Lücke ist schon ein Jahr bekannt ;) - geh ich aber nicht von aus)
patchen war easy ...
per .htaccess
undCode:<FilesMatch "(ftp|install)\.php$">
AuthName "TYPOlight back end"
AuthType Basic
AuthUserFile .htpasswd
require valid-user
</FilesMatch>
in der .htpasswd führte aber zu einem internal Server error NACH korrekt beantworteter Sicherheitsabfrage.Code:user:crypt(pass)
Aber egal, das patchen war easy.
entspannte Feiertage schonmal
:)
Ist die 2.8RC1 auch von dem Problem betroffen und wenn ja, wie sichere ich die ab?
Gruß
Hi hanuman,
versuchs mal mit dem Relativen Pfad zur Userdatei im Punkt "AuthUserFile". Den relativen Pfad kriegst du mit einer PHP Datei mit folgendem Inhalt raus:
Dann sollte es klappen.PHP-Code:<?php echo $_SERVER["SCRIPT_FILENAME"]; ?>
Gruß und danke nochmal für das schnelle Update.
Johannes
Die Sicherheitslücke wurde von mir heute entdeckt, nachdem in den letzten Tagen Angriffe auf verschiedene TYPOlight-Projektseiten in den Server-Logs registriert wurden und schließlich nachvollzogen werden konnten. Ein konkreter Exploit ist noch nicht bekannt, jedoch wurde das Problem in etlichen PoC-Angriffen eindeutig reproduziert.
Die Lücke besteht schon von Anfang an, wodurch leider alle TYPOlight-Installationen betroffen sind. Weitere Einzelheiten möchte ich zu diesem Zeitpunkt nicht veröffentlichen, um nicht auch noch eine Anleitung zum Exploit zu liefern. Wir haben als weitere Sicherheitsmaßnahme den TYPOlight-Showroom und die Showroom-Foren vorübergehend deaktiviert, um das Auffinden von TYPOlight-Webseiten zu erschweren.
Ja, auch die Version 2.8.RC1 ist betroffen. Am besten richtest Du den .htaccess-Passwortschutz für das Backend (den Ordner typolight) ein. Mit dem Erscheinen des zweiten Release Candidate (2.8.RC2), das eigentlich für heute geplant war, wird diese Lücke dann behoben.Zitat:
Zitat von netspy
Ok, danke für die Info und die schnelle Reaktion!
Gruß
Vielen Dank für den schnellen Service und die gute Benachrichtigung über alle denkbaren Kanäle.
Und vielen Dank für den Live Update Service. 15 Sites aktualisiert in 20 Minuten. Das entlockt mir ein spontanes "affengeil!".
Gruß
Joachim
@Johannes
:)
ja, super und danke.
Das wars.
kein problem.Zitat:
Zitat von hanuman
Hallo !
Auch ich sage DANKE für die tolle Verständigung per Email und die rasche Reaktion.
Ich habe allerdings noch folgendes Problem:
Da ich hauptsächlich mit exttypolight arbeite befindet sich bei mir im Ordner /typolight bereits eine .htaccess mit folgendem Inhalt:
Wenn ich jetzt noch den .htaccess Schutz dazugebe (auch mit relativem Pfad) habe ich nur mehr 500 Meldungen...Code:# Enable mod_rewrite
RewriteEngine On
RewriteRule ^main\.php$ extMain.php
Irgendwie passen die beiden nicht zusammen...
Weis da wer Rat ?
Wie kann ich die rewrite Anweisung für exttypolight mit dem Ordnerschutz kombinieren ?
Danke !
LG Klaus
Finde ich sehr gut, veröffentliche lieber keine Einzelheiten, wer weiß ob sonst noch Scriptkiddies auf falsche Gedanken kommen ;)Zitat:
Zitat von leo
Eine Bescherung der etwas anderen Art :D
Vielen Dank für die schnelle Reaktion und die Benachrichtungsmail und natürlich den schnellen Patch!! Das nenn ich mal Support ;)!
Ich würde im Zuge dessen vorschlagen, dass ein Installations-Protokoll angelegt wird, das die durchgeführten Schritte (nicht unbedingt in Details) inkl. Zeit und Auslöser-IP protokolliert. Da das Installationsskript ja durchaus eine sensible Stelle ist, fände ich es nicht schlecht, wenn man nachvollziehen kann, wer was gemacht hat.
Was meint ihr/du, Leo?
Ich muss hier schon meinen Hut ziehen vor dieser meisterlichen Reaktion von Leo.
Und dass man auch daran gedacht hat die Webs des Showrooms usw. zu deaktivieren, zeugt von einer durchdachten Strategie. Sowas gibt Vertrauen.
Zum Glück habe ich tonnenweise update-Ids gekauft.. Eine Sache von Sekunden.
jachen
mal ne blöde frage,
wenn ich den Patch aufspiele, also Austausch von install.php und ftp.php.
Ist es dann noch nötig die .htacess ins typolight verzeichniss zu packen ?
Nein, das ist dann optional. Allerdings ist mehr Sicherheit auch nicht verkehrt (wie dieser leidige Vorfall zeigt).
Hiho!
Im normalen Betrieb brauch ich die install.php garnicht, oder?
Spricht irgendwas dagegen sie zu löschen oder umzubennen?
Und brauche ich die ftp.php auch, wenn ich den SMH nicht verwende? Oder kann man die auch löschen?
Und danke für den schnellen Patch und den offenen und ehrlichen Umgang mit dem Problem!
Tschüss
Marcus (aka Tiggr)
Hallo Leo,
erstmal vielen Dank für den raschen Support und die sofortige Problemlösung!
Meine Frage: wirkt sich der Upgrade auf 2.7.6 nachteilig auf verwendete Extensions aus? Bzw. lassen sich die Extensions (die derzeit zumeist max. 275 oder 280 rc1 unterstützen) problemlos verwenden? Bei einer Installation mit sehr vielen Extensions schrecke ich vor der Anwendung des patches momentan noch zurück, ehe diese Frage nicht klar ist oder womöglich umfangreichere Anpassungen vorgenommen werden müssen.
Wäre dankbar für Antwort
Was meinst du, was ich grad mache ;). Da kommen mir aber auch Referrer rein, das macht das ganze unübersichtlicher …Zitat:
Zitat von leo.unglaub
Ich meinte eine File-Log. Klar, wenn SMH benötigt aber nicht aktiviert ist, wird das nicht klappen. Aber ich denke, das kann man verschmerzen: Man aktiviert ja den SMH bevor man TL installiert, bzw. gibt (ab 2.8) die Daten, wenn sie benötigt werden, zu Beginn ein. Ein @ vor dem Schreibbefehl kümmert sich um eventuelle Fehlermeldungen.Zitat:
Zitat von leo.unglaub
Es geht mir mehr um eine zusätzliche Möglichkeit. Wenn es nicht funktioniert (SMH, sonstwas), dann wird die Log halt nicht geschrieben, da kann man dann auch wenig machen.
Es wird da (ziemlich) sicher keine Probleme geben. Einziger Knackpunkt könnte die ftp.php sein, aber bei den Änderungen ist es eigentlich nicht möglich, dass es zu Inkompatibilitäten kommt.Zitat:
Zitat von murphyslaw
Die Version 2.7.6 aktualisiert lediglich die typolight/install.php und die typolight/ftp.php und hat deswegen keinerlei Einfluss auf Erweiterungen. Alle Module, die mit der 2.7.5 funktionieren, laufen also auch mit der 2.7.6.
Vielen Dank für die schnell bereit gestellten Patches! Außerdem lerne ich das Live-Update mal wieder richtig zu schätzen. :D
Ein Frage hab ich aber noch (hoffe, ich habe es nicht einfach überlesen): Sind die "internen" Passwörter von der Lücke auch betroffen? Also z.B. das Install-PW oder Benutzer-/Admin-PWs?
Gruß Alex
Danke Leo. Die schnelle Benachrichtigung auch per email war super.
Hab jetzt wieder alle TL-CMS-Kunden auf Stand. 6 Stunden für nahezu 20 Installationen inkl. der Sicherungen von DB und Space vorm Update. Die Leitung glüht noch immer. Jetzt reicht's. Ich setz mich jetzt mit nem guten Glas Wein vor den Kamin.:cool:
Allen ein wunderschönes Weihnachtsfest.
Piet
Prinzipiell sind überhaupt keine Benutzer-Passwörter betroffen, wobei natürlich jede beliebige Information und somit auch Benutzer-Passwörter in der Datenbank verändert (aber nicht im Klartext ausgelesen) werden können. Deswegen muss man nach dem Patch auch unbedingt prüfen, ob es irgendwelche neuen Adminkonten gibt. Da die Passwörter selbst verschlüsselt und zudem ab Version 2.7 gesalzen sind, ist es eher unwahrscheinlich, dass jemand sie ausliest.Zitat:
Zitat von mv_alex
Außer dem Datenbank-/FTP-Passwort, oder?Zitat:
Zitat von leo