Schwere Sicherheitslücke im TYPOlight-Installtool
Eine schwere Sicherheitslücke wurde im TYPOlight-Installtool entdeckt, die es jedem ermöglicht, die Passwort-Abfrage zu umgehen und die Datenbank-Zugangsdaten sowie - falls der Safe Mode Hack verwendet wird - FTP-Zugangsdaten auszulesen. Um das Problem zu beheben, aktualisieren Sie auf die neueste Version (2.7.6) oder installieren Sie einen der folgenden Patches!
Ganzen Beitrag zu 'Schwere Sicherheitslücke im TYPOlight-Installtool' lesen
Ursache der Sicherheitslücke
Hallo zusammen,
erstmal Danke für die versch. Behebungsmöglichkeiten.
Ich wüsste gerne weitere Details zur Lücke, z.B. wann wurde sie entdeckt, von wem und wie kam sie zustande? Gab es einen konkreten Fall in dem ein System gehackt wurde?
Ich verstehe, dass (noch) nicht alle Details offengelegt werden können, aber ich betreue mehrere Typolight-Installationen für Kunden und möchte für diese zumindest ein paar Informationen parat haben.
Beste Grüsse,
Lloyd
.htaccess bei Verwendung von exttypolight
Hallo !
Auch ich sage DANKE für die tolle Verständigung per Email und die rasche Reaktion.
Ich habe allerdings noch folgendes Problem:
Da ich hauptsächlich mit exttypolight arbeite befindet sich bei mir im Ordner /typolight bereits eine .htaccess mit folgendem Inhalt:
Code:
# Enable mod_rewrite
RewriteEngine On
RewriteRule ^main\.php$ extMain.php
Wenn ich jetzt noch den .htaccess Schutz dazugebe (auch mit relativem Pfad) habe ich nur mehr 500 Meldungen...
Irgendwie passen die beiden nicht zusammen...
Weis da wer Rat ?
Wie kann ich die rewrite Anweisung für exttypolight mit dem Ordnerschutz kombinieren ?
Danke !
LG Klaus
Professionelle De-Eskalation
Ich muss hier schon meinen Hut ziehen vor dieser meisterlichen Reaktion von Leo.
Und dass man auch daran gedacht hat die Webs des Showrooms usw. zu deaktivieren, zeugt von einer durchdachten Strategie. Sowas gibt Vertrauen.
Zum Glück habe ich tonnenweise update-Ids gekauft.. Eine Sache von Sekunden.
jachen
Speicherort für .htpasswd
Auf die Frage: 'Wo soll die .htpasswd liegen?'. Sie sollte nicht unbedingt im selben Ordner liegen. Bei mir liegt sie außerhalb des zugänglichen Bereichs oberhalb von html/. Sie kann auch in einem Ordner liegen, welcher mit einer anderen .htaccess für alle gesperrt ist.
Andreas
Passwort ging nicht mehr....
Hallo,
habe gestern auf allen meinen Sites gleich den Patch eingespielt.
Alles lief danach prima.
Heute will ich mich im Backend auf einer Seite einlogen aber mein Passwort geht nicht mehr.
Hab über phpmyadmin das Kennwort durch kopieren von einem anderen User wieder erhalten und auch geändert..
Kann es sein das jemand das DB Kennwort über die Lücke gehackt hat und meinem Adminuser ein neues Kennwort verpasst hat?
Db Kennwort hatte ich bei Strato geändert, aber das Installtool aktzeptiert immer nur das alte DB Kennwort (dauert das evetuell länger bei Strato?)
Wie kann ich herausfinden ob manipuliert wurde, in welchem Log soll ich nach was suchen?
Grüßle
Bernd
Danke für schnelle Reaktion.
Danke für die Informationen, sowie schneller Reaktion hinsichtlich vorübergehender Lösungsvorschläge. Ich sehe das jetzt einmal positiv. Je bekannter ein System ist, desto interessanter wird es sein, solch ein System zu hacken. Welche Neider und "DEPPEN" sind das wohl? Es wird doch nicht die OpenSource-Konkurrenz sein :D.