TYPO3 Blogger » Bugs

Unsichere Extensions & SEO vertragen sicht nicht

Georg Ringer — Mon, 14 May 2012 18:25:56 +0000

Als Mitglied des TYPO3 Security Team liegt einem die Sicherheit des Webs und insbesonders von TYPO3 am Herzen. Gerade eben bin ich auf eine einfache Tatsache gestoßen: Unsichere Extensions und Suchmaschinenoptimierungen vertragen sich nicht.

Ein Bericht von gerade eben
Man surft so vor sich hin, kommt auf eine TYPO3-Seite und sieht an den Parametern in der URL dass es sich a) um eine pibase-Extension handelt, dass es b) keinen cHash gibt und daher eher gepfuscht wurde (USER_INT wird nicht benötigt). Testweise ein 'x' an die ID angehängt zeigt, dass aufgrund eines nichtvorhandnenen Extension-Inhaltes entweder sehr genau kontrolliert wird oder gar nicht. Ein ' AND 1=1' zeigt den Inhalt wieder und bestätigt zweiteres.

Und hier ein Aufruf, besonders an Agenturen und alle die interne Extension über Kundenprojekte hinweg einsetzen: Hier sollte ganz besonders wert darauf gelegt werden, dass die Extension sauber ist, weil sonst rächen sich die verkauften SEO-Zusatzpakete. Google sagt bei der Suche nach ‘inurl:tx_extensionkey_pi1′: Mehr als 640.000 Treffer … ooops (ja ich weiß, es sind nicht 640.000 Unique Kunden, aber es sind noch genügende).

Extension ist nicht im TER, sonst würd ich das hier nicht schreiben, Agentur ist informaiert, ich bin gespannt — könnten arbeitsreiche Tage werden

------------------------------------------------------
Dies ist ein Post vom TYPO3 Blog typo3blogger.de!

Sicherheitslücken im TYPO3 Core und im FLOW3 Framework

Peter Kraume — Wed, 28 Mar 2012 13:26:05 +0000

Zusätzlich zu den Security Bulletins für Extensions hat das Security Team auch zwei Security Bulletins zum TYPO3 Core und zum FLOW3 Framework veröffentlicht:

TYPO3-CORE-SA-2012-001

Betroffen sind folgende TYPO3 Versionen:

4.4.0 bis 4.4.13
4.5.0 bis 4.5.13
4.6.0 bis 4.6.6

Die TYPO3 Versionen 4.4.14, 4.5.14 und 4.6.7 beheben die Sicherheitslücken.

FLOW3-SA-2012-001

Betroffen sind alle Versionen bis FLOW3 1.0.3. Die Version 1.0.4 behebt die Sicherheitslücke.

Ein Update von TYPO3 bzw. FLOW3 ist dringend angeraten!

------------------------------------------------------
Dies ist ein Post vom TYPO3 Blog typo3blogger.de!

Sicherheitslücken in diversen TYPO3 Extensions

Peter Kraume — Thu, 02 Feb 2012 12:42:44 +0000

Für folgende Extensions wurde heute ein Sicherheitsbulletin veröffentlicht:

Kritische Sicherheitslücke:

Kitchen recipe (mv_cooking)
Category-System (toi_category)
White Papers (mm_whtppr)

Hohes Risiko:

Documents download (rtg_files)
Post data records to facebook (bc_post2facebook)
System Utilities (sysutils)
Webservices for TYPO3 (typo3_webservice)

Mittleres Risiko:

Modern FAQ (irfaq)
Euro Calculator (skt_eurocalc)
Yet another Google search (ya_googlesearch)

Niedriges Risiko:

CSS styled Filelinks (css_filelinks)
Terminal PHP Shell (terminal)
BE User Switch (beuserswitch)
Additional TCA Forms (jftcaforms)
UrlTool (aeurltool)

Details finden sich im Security Bulletin TYPO3-EXT-SA-2012-001.

Ein Update der betroffenen Extensions wird wie immer dringend empfohlen. Die Extensions, für die es keine Updates mehr gibt, sollten gelöscht werden.

------------------------------------------------------
Dies ist ein Post vom TYPO3 Blog typo3blogger.de!

TYPO3 4.5.10 und 4.6.3 beheben Regression im Rich Text Editor

Peter Kraume — Tue, 20 Dec 2011 12:15:11 +0000

Heute wurden die TYPO3 Versionen 4.5.10 und 4.6.3 veröffentlicht, die eine Regression im RTE beheben, die im Sicherheitsupdate von letzte Woche eingefügt wurden. Eigene Stylesheets im Backend wurden nicht mehr geladen.

Die Original News findet sich hier.

------------------------------------------------------
Dies ist ein Post vom TYPO3 Blog typo3blogger.de!

Suggestwizard nun auch in Flexforms möglich – Türchen 8

Georg Ringer — Thu, 08 Dec 2011 07:00:53 +0000

Die schönsten Weihnachtsgeschenke macht man sich manchmal doch selbst. Mit den nächsten Releases von 4-5, 4-6, 4-7 ist der Suggestwizard auch in Flexform-Feldern möglich.

Seit einiger Zeit bietet der dieser Wizard im TCA die praktische Möglichkeit, Relationen zu anderen Tabellen über ein Suggest-Feld hinzuzufügen. Grundsätzlich sind Flexforms dem TCA sehr ähnlich und verwenden die gleiche Syntax (statt PHP einfach XML) zur Konfiguration. Dennoch gibt es ein paar Unterschiede, die mit dem Merge des Tickets #22232 gelöst wurden.

Eine beispielhafte Konfiguration

>
	>
		>1>
		>LLL:EXT:lang/locallang_general.xml:LGL.startingpoint>
		>
			>group>
			>db>
			>pages>
			>3>
			>50>
			>0>
			>1>
			>
				>
					>suggest>
				>
			>
		>
	>
>

------------------------------------------------------
Dies ist ein Post vom TYPO3 Blog typo3blogger.de!

Security Bulletin veröffentlicht

Tim Lochmüller — Mon, 29 Aug 2011 21:10:55 +0000

Es wurden gleich zwei Security Bulletins veröffentlicht. Das Erste betrifft das allgegenwärtige Sorgenkind phpmyadmin (Bulletin) und das zweite ist ein Sammel-Bulletin. Von dem zweiten sind die folgenden Extensions betroffen:

MM DAM – FEFileList (mm_dam_filelist)
Events (julle_events)
WEC Staff Directory (wec_staffdirectory)
TGM news (tgm_news)
TGM media (tgm_media)
TGM calendar module (tgm_cal)
DAM Lightbox (damlightbox)
Download system (sb_downloader)
iwbase (iwbase)
Fussballtippspiel (toto)
Font resizer (fontsizer)
Adminer (t3adminer)

Wenn Ihr betroffende Erweiterungen einsetzt heißt es wie immer, updaten oder eine andere Lösung finden…

------------------------------------------------------
Dies ist ein Post vom TYPO3 Blog typo3blogger.de!

Bug Day am kommenden Freitag

Tim Lochmüller — Wed, 24 Aug 2011 19:14:18 +0000

Nachdem beim letzten mal ein Bug Weekend stattgefunden hat, geht es kommenden Freitag wieder mit einem “Bug Day” weiter. Am 26.08 wird sich erneut getroffen, um Fehler aus TYPO3 zu beheben. Koordiniert wird der Bug Day wie immer über IRC.

Alle Infos zum Bug Day auf typo3.org.

------------------------------------------------------
Dies ist ein Post vom TYPO3 Blog typo3blogger.de!

TER schlecht erreichbar

Tim Lochmüller — Fri, 19 Aug 2011 17:26:12 +0000

Da es hier und hier schon zu Fragen kam, ob einige Extensions nicht mehr im TER sein, kurz die Info. Vorweg, diejenigen kann ich beruhigen. Es ist nur die Ausgabe der typo3.org Suche, welche im Moment nicht richtig funktioniert. Ich denke es gibt im Moment ein paar Umstellungen, welche nicht ganz reibungslos sind.

Mein Tipp: Sucht die Extension über das Backend von TYPO3. Im Extension Manager findet man alle Extensions und kann diese auch laden.

------------------------------------------------------
Dies ist ein Post vom TYPO3 Blog typo3blogger.de!

TYPO3 Bug Weekend statt regulärem TYPO3 Bug Day

Peter Kraume — Thu, 28 Jul 2011 09:43:52 +0000

Am kommenden Wochenende (29.-31. Juli) findet statt dem regulären Bug Day gleich ein ganzes Bug Weekend statt. TYPO3 4.6-beta1 wird nächste Woche erscheinen und mit der ersten Beta Version ist auch ein Feature Freece verbunden. Von daher dient das Wochenende dazu, die letzten unerledigten Features noch in die Version zu integrieren. Details finden sich hier.

------------------------------------------------------
Dies ist ein Post vom TYPO3 Blog typo3blogger.de!

Securityrelease für TYPO3 4-3, 4-4, 4-5

Georg Ringer — Wed, 27 Jul 2011 11:49:27 +0000

Gerade wurde die Veröffentlichung von 4.3.12, 4.4.9 und 4.5.4 bekannt gegeben. Alle Details gibt es auf typo3.org. Es handelt sich dabei sowohl um Lücken für das Frontend, als auch das Backend. Ein Update ist wie immer absolut empfehlenswert!

Frontent

XSS über den Parameter JSwindow von typolink.

Backend

Information Disclosure beim Backend-Login
Vermeidung der 5 Sekunden Sperre bei falschen Logindaten
XSS im Adminpanel
XSS im browse_links Popup
XSS im Recycler
XSS in den Flashmessages
Information Disclosure im Workspace-Modul
Information Disclosure durch css_styled_content
Sicherheitslücke im Handling von serialize/unserialize
Fehlerhafte Funktion removeXSS
Fehlende Checks in der ExtDirect-API

Vielen Dank an alle, die die Issues reporten, bearbeiten, lösen, testen und an der Realisierung eines sicheren TYPO3 teilhaben.

------------------------------------------------------
Dies ist ein Post vom TYPO3 Blog typo3blogger.de!

TYPO3 Bug Manager

Peter Kraume — Mon, 18 Jul 2011 08:54:58 +0000

Beim Core Team Meeting vor den diesjährigen TYPO3 Developer Days wurde unter anderem vereinbart, die Funktion eines sogenannten “TYPO3 Bug Managers” einzuführen.

Jedes Core Team Mitglied soll für 2 Wochen im Jahr die Patenschaft für den TYPO3 Bugtracker übernehmen. Zu den Aufgaben gehört die Kategorisierung neuer Bugs, die Überwachung der Bugs und die Einschätzung der Schwierigkeit, einen Bug zu beheben. Außerdem sollte ein Bericht, der “Weekly Bug Summary” verfasst werden. Der Friendly Ghost of the Week steht auch allen als Ansprechpartner zur Verfügung, die Interesse an der Mitarbeit haben.

Im Google Calendar des Core Team kann man sehen, wer für die jeweilige Woche der Bug Manager ist. Weitere Ergebisse des Core Team Meetings finden sich im Protokoll im Wiki.

------------------------------------------------------
Dies ist ein Post vom TYPO3 Blog typo3blogger.de!

Sicherheitslücke in ke_search (TYPO3-SA-2011-007)

Peter Kraume — Wed, 29 Jun 2011 07:46:44 +0000

Das TYPO3 Security hat eine schwere Sicherheitslücke in der TYPO3 Extension ke_search bekannt gegeben. Es besteht die Möglichkeit einer SQL Injection. Eine aktualisierte Version 0.3.1 ist im TER verfügbar. Das Update wird dringend empfohlen!

Das Security Bulletin ist hier verfügbar.

------------------------------------------------------
Dies ist ein Post vom TYPO3 Blog typo3blogger.de!

Sicherheitslücken in Galerien

Tim Lochmüller — Mon, 20 Jun 2011 21:43:49 +0000

Letzte Woche wurde der Security Bulletin TYPO3-SA-2011-006 veröffentlicht. In dem Bulletin ging es um die Extensions “Photogallery (ce_gallery)” und “SEO Photogallery by Evorion (evgallery)”, welche beide für SQL Injections anfällig waren. Zu beiden Erweiterungen gibt es ein Update im TER, welches dringend eingespielt werden sollte. ------------------------------------------------------Dies ist ein Post vom TYPO3 Blog typo3blogger.de!

------------------------------------------------------
Dies ist ein Post vom TYPO3 Blog typo3blogger.de!

BugDay am kommenden Freitag

Tim Lochmüller — Mon, 20 Jun 2011 21:40:07 +0000

Am kommenden Freitag findet erneut ein Bug-Day statt. Da es sich in einigen Bundesländern um einen Brückentag handelt, hat man vielleicht genug Ruhe und Nerven mal an dem Event teil zu haben. Alle Infos gibt es in der letzten typo3.org-News bzw. auf der Wiki-Seite des Bug-Days.

------------------------------------------------------
Dies ist ein Post vom TYPO3 Blog typo3blogger.de!

Bug Day am 27. Mai

Tim Lochmüller — Fri, 13 May 2011 20:42:35 +0000

So wie man den typo3.org News eben entnehmen konnte, gibt es heute in 14 Tagen erneut einen Bug-Day. Wie immer ist jede helfenden Hand gefragt. Der Fokus liegt natürlich auf der Stabilisierung von TYPO3 4.5.x LTS, aber es wird bestimmt auch ein wenig an der neuen Alpha Version von 4.6 getestet und gedebuggt. Mehr Informationen gibt es auf typo3.org.

------------------------------------------------------
Dies ist ein Post vom TYPO3 Blog typo3blogger.de!