Schwere Sicherheitslücke im TYPOlight-Installtool

[contao.org]

Eine schwere Sicherheitslücke wurde im TYPOlight-Installtool entdeckt, die es jedem ermöglicht, die Passwort-Abfrage zu umgehen und die Datenbank-Zugangsdaten sowie - falls der Safe Mode Hack verwendet wird - FTP-Zugangsdaten auszulesen. Um das Problem zu beheben, aktualisieren Sie auf die neueste Version (2.7.6) oder installieren Sie einen der folgenden Patches!

Ganzen Beitrag zu 'Schwere Sicherheitslücke im TYPOlight-Installtool' lesen

[Sarvo]

... und das vor Weihnachten

vielen Dank für die Info und die verschiedenen Problemlösungen !

Ich hoffe es ist niemand dadurch ein Schaden entstanden

[Thomas]

Hallo!

Mag am Cache liegen, habe aber keine Anzeige zur Aktualisierung mit Live-ID bekommen.

Beim Anstoßen der Aktualisierung hat er aber ohne Probleme aktualisiert.

[Sebastian]

HI

das ist immer so, TL prüft nur alle 24 Stunden auf Updates. Ich hoffe, bei mir ist bisher nichts passiert, mal schnell updaten gehen.

Danke Leo für de Patch!

Sebastian

[frank]

Auch von mir: DANKE!

Gruß, Frank

PS: Wie, wem bzw. wodurch ist das denn aufgefallen

[phlox81]

Ist man geschützt, wenn in der install.php ein exit am anfang drin war?
Muss man dann nur den Patch einspielen?

[leo]

Ja, die exit;-Anweisung macht einen Exploit ebenfalls unmöglich. In diesem Fall muss nur der Patch eingespielt werden.

[Sarvo]

ich hab jetzt die 2.7.6 manuell installiert, aber die backend anzeige ändert sich nicht.
Also laut Backend hab ich immer noch die Version 2.7.5.
Install Tool hab ich aufgerufen.

Gehts bei euch ?

[x-ray]

@leo Danke für den Patch und die Benachrichtigung über die Lücke.

Nach manuellen Einspielen des Patches (kopieren und ersetzen der beiden PHP-Dateien). Funktionierte mein altes Passwort in der install.php nicht mehr :-( Erst nach Löschen der Zeile installPassword aus der localconfig.php konnte ich mit dem TL Standard Passwort ein neues Passwort festlegen.

Wie funktioniert das mit der .htaccess Datei genau? Muss ich hier noch eine extra .htpasswd anlegen und wo liegt diese am sichersten? Könnte man auch auf die Nutzung von TL-BackEnd Nutzer verlinken?

[leo]

ich hab jetzt die 2.7.6 manuell installiert, aber die backend anzeige ändert sich nicht.
Also laut Backend hab ich immer noch die Version 2.7.5.

Ein kleiner Fehler im Sourceforge-Paket, den ich inzwischen behoben habe. Öffne die Datei system/constants.php und trage bei BUILD eine 6 ein. Wichtig ist jedoch nicht die Buildnummer, sondern dass die install.php und ftp.php den aktuellen Code aus dem Patch enthalten!

[matze]

Wo finde ich denn Informationen darüber, was die Sicherheitslücke überhaupt war?
Habe aber dank des Live-Update Systems gleich die neue Version eingespielt

[MacKP]

Ein kurzes Danke für das schnelle bereitstellen von den Patch Versionen.

Sowas kann sich sehen lassen. Schön schnelle Reaktionszeiten.

Also noch mal ein Danke!

Viele Grüße

[joerg-t]

auch von mir danke schön für die schnelle Bereitstellung einer Lösung.

Vielen Dank Leo

[do_while]

Danke Leo für die schnelle Reaktion und das Bereitstellen der Patches gleich für die letzten 4 Versionen.

So konnte ich schnell per FTP alle Installationen patchen, dabei sieht man erstmal, wieviele TYPOlights man schon erstellt hat.

[Lloyd]

Hallo zusammen,

erstmal Danke für die versch. Behebungsmöglichkeiten.

Ich wüsste gerne weitere Details zur Lücke, z.B. wann wurde sie entdeckt, von wem und wie kam sie zustande? Gab es einen konkreten Fall in dem ein System gehackt wurde?

Ich verstehe, dass (noch) nicht alle Details offengelegt werden können, aber ich betreue mehrere Typolight-Installationen für Kunden und möchte für diese zumindest ein paar Informationen parat haben.

Beste Grüsse,
Lloyd

[Pellinger]

Dann ist das Wochenende gerettet :-)

Auf jeden Fall Danke für schnellen und offenen Umgang mit dem Thema.

[hanuman]

ja, da schließe ich mich an.

Danke

Schöne und schnelle Reaktion (es sei denn die Lücke ist schon ein Jahr bekannt - geh ich aber nicht von aus)

patchen war easy ...
per .htaccess

Code:

<FilesMatch "(ftp|install)\.php$">
  AuthName "TYPOlight back end"
  AuthType Basic
  AuthUserFile .htpasswd
  require valid-user
</FilesMatch>

und

Code:

user:crypt(pass)

in der .htpasswd führte aber zu einem internal Server error NACH korrekt beantworteter Sicherheitsabfrage.
Aber egal, das patchen war easy.
entspannte Feiertage schonmal

[Babelfisch]

Ist die 2.8RC1 auch von dem Problem betroffen und wenn ja, wie sichere ich die ab?

Gruß

[Johannes]

Hi hanuman,

versuchs mal mit dem Relativen Pfad zur Userdatei im Punkt "AuthUserFile". Den relativen Pfad kriegst du mit einer PHP Datei mit folgendem Inhalt raus:

PHP-Code:

<?php echo $_SERVER["SCRIPT_FILENAME"]; ?>

Dann sollte es klappen.

Gruß und danke nochmal für das schnelle Update.

Johannes

[leo]

Die Sicherheitslücke wurde von mir heute entdeckt, nachdem in den letzten Tagen Angriffe auf verschiedene TYPOlight-Projektseiten in den Server-Logs registriert wurden und schließlich nachvollzogen werden konnten. Ein konkreter Exploit ist noch nicht bekannt, jedoch wurde das Problem in etlichen PoC-Angriffen eindeutig reproduziert.

Die Lücke besteht schon von Anfang an, wodurch leider alle TYPOlight-Installationen betroffen sind. Weitere Einzelheiten möchte ich zu diesem Zeitpunkt nicht veröffentlichen, um nicht auch noch eine Anleitung zum Exploit zu liefern. Wir haben als weitere Sicherheitsmaßnahme den TYPOlight-Showroom und die Showroom-Foren vorübergehend deaktiviert, um das Auffinden von TYPOlight-Webseiten zu erschweren.

[leo]

Ist die 2.8RC1 auch von dem Problem betroffen und wenn ja, wie sichere ich die ab?

Ja, auch die Version 2.8.RC1 ist betroffen. Am besten richtest Du den .htaccess-Passwortschutz für das Backend (den Ordner typolight) ein. Mit dem Erscheinen des zweiten Release Candidate (2.8.RC2), das eigentlich für heute geplant war, wird diese Lücke dann behoben.

[Babelfisch]

Ok, danke für die Info und die schnelle Reaktion!

Gruß

[Joachim]

Vielen Dank für den schnellen Service und die gute Benachrichtigung über alle denkbaren Kanäle.

Und vielen Dank für den Live Update Service. 15 Sites aktualisiert in 20 Minuten. Das entlockt mir ein spontanes "affengeil!".

Gruß
Joachim

[hanuman]

@Johannes


ja, super und danke.
Das wars.

[Johannes]

@Johannes


ja, super und danke.
Das wars.

kein problem.

[klaus_tkm]

Hallo !

Auch ich sage DANKE für die tolle Verständigung per Email und die rasche Reaktion.

Ich habe allerdings noch folgendes Problem:

Da ich hauptsächlich mit exttypolight arbeite befindet sich bei mir im Ordner /typolight bereits eine .htaccess mit folgendem Inhalt:

Code:

# Enable mod_rewrite
RewriteEngine On

RewriteRule ^main\.php$ extMain.php

Wenn ich jetzt noch den .htaccess Schutz dazugebe (auch mit relativem Pfad) habe ich nur mehr 500 Meldungen...

Irgendwie passen die beiden nicht zusammen...

Weis da wer Rat ?

Wie kann ich die rewrite Anweisung für exttypolight mit dem Ordnerschutz kombinieren ?


Danke !

LG Klaus

[ku-ma-122]

Die Lücke besteht schon von Anfang an, wodurch leider alle TYPOlight-Installationen betroffen sind. Weitere Einzelheiten möchte ich zu diesem Zeitpunkt nicht veröffentlichen, um nicht auch noch eine Anleitung zum Exploit zu liefern. Wir haben als weitere Sicherheitsmaßnahme den TYPOlight-Showroom und die Showroom-Foren vorübergehend deaktiviert, um das Auffinden von TYPOlight-Webseiten zu erschweren.

Finde ich sehr gut, veröffentliche lieber keine Einzelheiten, wer weiß ob sonst noch Scriptkiddies auf falsche Gedanken kommen

[FloB]

Eine Bescherung der etwas anderen Art

Vielen Dank für die schnelle Reaktion und die Benachrichtungsmail und natürlich den schnellen Patch!! Das nenn ich mal Support !

Ich würde im Zuge dessen vorschlagen, dass ein Installations-Protokoll angelegt wird, das die durchgeführten Schritte (nicht unbedingt in Details) inkl. Zeit und Auslöser-IP protokolliert. Da das Installationsskript ja durchaus eine sensible Stelle ist, fände ich es nicht schlecht, wenn man nachvollziehen kann, wer was gemacht hat.
Was meint ihr/du, Leo?

[jachen]

Ich muss hier schon meinen Hut ziehen vor dieser meisterlichen Reaktion von Leo.
Und dass man auch daran gedacht hat die Webs des Showrooms usw. zu deaktivieren, zeugt von einer durchdachten Strategie. Sowas gibt Vertrauen.
Zum Glück habe ich tonnenweise update-Ids gekauft.. Eine Sache von Sekunden.

jachen

[Sarvo]

mal ne blöde frage,

wenn ich den Patch aufspiele, also Austausch von install.php und ftp.php.
Ist es dann noch nötig die .htacess ins typolight verzeichniss zu packen ?

[leo]

Nein, das ist dann optional. Allerdings ist mehr Sicherheit auch nicht verkehrt (wie dieser leidige Vorfall zeigt).

[Tiggr]

Hiho!

Im normalen Betrieb brauch ich die install.php garnicht, oder?

Spricht irgendwas dagegen sie zu löschen oder umzubennen?

Und brauche ich die ftp.php auch, wenn ich den SMH nicht verwende? Oder kann man die auch löschen?

Und danke für den schnellen Patch und den offenen und ehrlichen Umgang mit dem Problem!

Tschüss
Marcus (aka Tiggr)

[murphyslaw]

Hallo Leo,

erstmal vielen Dank für den raschen Support und die sofortige Problemlösung!
Meine Frage: wirkt sich der Upgrade auf 2.7.6 nachteilig auf verwendete Extensions aus? Bzw. lassen sich die Extensions (die derzeit zumeist max. 275 oder 280 rc1 unterstützen) problemlos verwenden? Bei einer Installation mit sehr vielen Extensions schrecke ich vor der Anwendung des patches momentan noch zurück, ehe diese Frage nicht klar ist oder womöglich umfangreichere Anpassungen vorgenommen werden müssen.

Wäre dankbar für Antwort

[FloB]

soweit die Theorie, praktisch sieht es aber so aus, dass du diese Infos's eh schon hast. Stichwort Apache2 log Sogar mit IP, Referer, Time, Browser, ...

einfach nach install.php greppen.

Was meinst du, was ich grad mache . Da kommen mir aber auch Referrer rein, das macht das ganze unübersichtlicher …

Ein Log ins MySQL ist erst sehr spät möglich (wegen fehlender zugangsdaten) und ein Loggen in ein File dürfte auch meistens scheitern, da man zuerst den SMH braucht.

Ich meinte eine File-Log. Klar, wenn SMH benötigt aber nicht aktiviert ist, wird das nicht klappen. Aber ich denke, das kann man verschmerzen: Man aktiviert ja den SMH bevor man TL installiert, bzw. gibt (ab 2.8) die Daten, wenn sie benötigt werden, zu Beginn ein. Ein @ vor dem Schreibbefehl kümmert sich um eventuelle Fehlermeldungen.
Es geht mir mehr um eine zusätzliche Möglichkeit. Wenn es nicht funktioniert (SMH, sonstwas), dann wird die Log halt nicht geschrieben, da kann man dann auch wenig machen.

[FloB]

Meine Frage: wirkt sich der Upgrade auf 2.7.6 nachteilig auf verwendete Extensions aus? Bzw. lassen sich die Extensions (die derzeit zumeist max. 275 oder 280 rc1 unterstützen) problemlos verwenden?

Es wird da (ziemlich) sicher keine Probleme geben. Einziger Knackpunkt könnte die ftp.php sein, aber bei den Änderungen ist es eigentlich nicht möglich, dass es zu Inkompatibilitäten kommt.

[leo]

Die Version 2.7.6 aktualisiert lediglich die typolight/install.php und die typolight/ftp.php und hat deswegen keinerlei Einfluss auf Erweiterungen. Alle Module, die mit der 2.7.5 funktionieren, laufen also auch mit der 2.7.6.

[mv_alex]

Vielen Dank für die schnell bereit gestellten Patches! Außerdem lerne ich das Live-Update mal wieder richtig zu schätzen.

Ein Frage hab ich aber noch (hoffe, ich habe es nicht einfach überlesen): Sind die "internen" Passwörter von der Lücke auch betroffen? Also z.B. das Install-PW oder Benutzer-/Admin-PWs?

Gruß Alex

[Piet]

Danke Leo. Die schnelle Benachrichtigung auch per email war super.

Hab jetzt wieder alle TL-CMS-Kunden auf Stand. 6 Stunden für nahezu 20 Installationen inkl. der Sicherungen von DB und Space vorm Update. Die Leitung glüht noch immer. Jetzt reicht's. Ich setz mich jetzt mit nem guten Glas Wein vor den Kamin.

Allen ein wunderschönes Weihnachtsfest.
Piet

[leo]

Sind die "internen" Passwörter von der Lücke auch betroffen? Also z.B. das Install-PW oder Benutzer-/Admin-PWs?

Prinzipiell sind überhaupt keine Benutzer-Passwörter betroffen, wobei natürlich jede beliebige Information und somit auch Benutzer-Passwörter in der Datenbank verändert (aber nicht im Klartext ausgelesen) werden können. Deswegen muss man nach dem Patch auch unbedingt prüfen, ob es irgendwelche neuen Adminkonten gibt. Da die Passwörter selbst verschlüsselt und zudem ab Version 2.7 gesalzen sind, ist es eher unwahrscheinlich, dass jemand sie ausliest.

[FloB]

Prinzipiell sind überhaupt keine Passwörter betroffen, …

Außer dem Datenbank-/FTP-Passwort, oder?