Kritische Sicherheitslücke:

• Kitchen recipe (mv_cooking)
• Category-System (toi_category)
• White Papers (mm_whtppr)

Hohes Risiko:

• Documents download (rtg_files)
• Post data records to facebook (bc_post2facebook)
• System Utilities (sysutils)
• Webservices for TYPO3 (typo3_webservice)

Mittleres Risiko:

• Modern FAQ (irfaq)
• Euro Calculator (skt_eurocalc)
• Yet another Google search (ya_googlesearch)

Niedriges Risiko:

• CSS styled Filelinks (css_filelinks)
• Terminal PHP Shell (terminal)
• BE User Switch (beuserswitch)
• Additional TCA Forms (jftcaforms)
• UrlTool (aeurltool)

Details finden sich im Security Bulletin TYPO3-EXT-SA-2012-001.

Ein Update der betroffenen Extensions wird wie immer dringend empfohlen. Die Extensions, für die es keine Updates mehr gibt, sollten gelöscht werden.

------------------------------------------------------
Dies ist ein Post vom TYPO3 Blog typo3blogger.de!

Um die mögliche Manipulation der zentralen index.php Datei bei TYPO3 zu entdecken ist die Extension CheckMySite sehr hilfreich.

Die Extension überprüft die index.php bei jedem Seitenaufruf auf potenziellen Schadcode indem ca. 60 Regeln abgearbeitet werden. Auf die Prüfung einer zuvor hinterlegten Signatur wurde bewußt verzichtet, damit nicht bei jedem TYPO3 Update neue Signaturen erzeugt werden müssen. Das Regelset bildet alle momentan bekannten Angriffszenarien ab und kann bei Bedarf später erweitert werden.

Wird potenzielle Schadcode entdeckt, wird eine Mail an eine vorher definierte Adresse geschickt. Die Nachricht wird in regelmäßigen Abständen erneut verschickt, damit sie nicht untergeht. Der Zeitraum kann frei definiert werden.

Außerdem wird der Frontend Output von TYPO3 unterbunden und stattdessen ein frei wählbarer Text, wie zum Beispiel “Webseite wegen Wartungsarbeiten nicht erreichbar” angezeigt oder auf eine andere URL (z.B. eine statische Wartungsseite) umgeleitet. Dadurch wird sichergestellt, dass sich der Schadcode nicht weiter verbeiten oder von Google indiziert werden kann.

Nachdem der Schadcode entfernt wurde, läuft die Webseite wieder wie gewohnt.

Laut Extension Autor verzögert sich der Seitenaufbau durch die Überprüfung um etwa 20 ms. Für Seiten mit normalem Traffic dürfte das keine Rolle spielen, bei größeren Webseiten oder Seiten mit Lastspitzen sollte die Serverlast aber im Auge behalten werden.

Die aktuell im TER verfügbare Version 2.0.3 von CheckMySite setzt PHP 5.3 voraus. Durch die Änderung einer Zeile Code läuft sie aber auch problemlos in PHP 5.2.
Dazu muss in der Datei typo3conf/ext/checkmysite/lib/class.checkfile.php das Code Schnipsel

realpath(__DIR__).'/check.db';

durch

realpath(t3lib_extMgm::extPath('checkmysite')).'/check.db';

ersetzt werden.

Andernfalls wird das TYPO3 Protokoll mit Fehlermeldungen dieser Art überschwemmt:

PHP Warning: touch(): Unable to create file /check.db because Permission denied in /pfad/zu/typo3conf/ext/checkmysite/lib/class.checkfile.php line 228

Außerdem wird dann bei jedem Seitenaufruf eine Mail verschickt und nicht nur ein mal pro eingestelltem Intervall. Bei regem Traffic kann das eine Mailbox schnell sprengen.

Ein Update der Extension, die auch mit PHP 5.2 kompatibel ist, wurde bereits in Aussicht gestellt.

Installation

Die Installation ist super einfach: Extension über den Extension Manager aus dem TER downloaden und installieren. Danach Empfänger und Absender Adresse eingeben. Auch mehrere Empfänger sind möglich. Außerdem kann der Text, der bei der Entdeckung von Schadcode angezeigt wird, angepasst werden oder eine Weiterleitungs Adresse definiert werden. Zuletzt wird noch der Intervall der Benachrichtigungsmail festgelegt. Standard ist eine halbe Stunde. Nach dem Speichern ist die Installation abgeschlossen und die Webseite wird überwacht.

Fazit

Durch die Extension CheckMySite kann eine Webseite sehr leicht sicherer gemacht werden. Man darf sich aber nicht der Illusion hingeben, dadurch unverwundbar zu sein. Ein weiteres beliebtes Angriffsziel für Manipulationen ist zum Beispiel die .htaccess Datei, die nicht überwacht wird. Updates des TYPO3 Cores und aller Extensions sollten also immer Priorität haben.

------------------------------------------------------
Dies ist ein Post vom TYPO3 Blog typo3blogger.de!

Die TYPO3 Versionen 4.5.9 oder 4.6.2 beheben das Problem. Ein Patch ist auch vorhanden. Details finden sich im Security Bulletin.

Alternativ kann man sich schützen, indem man “register_globals” auf off setzt.

------------------------------------------------------
Dies ist ein Post vom TYPO3 Blog typo3blogger.de!

Um die Sicherheitslücke ausnutzen zu können, muss auf dem Server “register_globals” aktiviert sein. Das TYPO3 Sicherheitsteam rät, diese Einstellung sowieso abzuschalten, da sie veraltet ist.

Installationen, die mit TYPO3 4.4 oder jünger laufen bzw. “register_globals” deaktiviert haben, sind nicht betroffen.

Das Pre Announcement kann hier nachgelesen werden.

------------------------------------------------------
Dies ist ein Post vom TYPO3 Blog typo3blogger.de!

Die ganze Ankündigung zum neuen Security Guide kann hier nachgelesen werden.

Der Security Guide kann hier gelesen werden oder im OpenOffice Format runtergeladen werden.

------------------------------------------------------
Dies ist ein Post vom TYPO3 Blog typo3blogger.de!

Wenn eine neue TYPO3 Webseite fertig und live ist, würde man sich gerne entspannt zurücklehnen und die Webseite einfach mal laufen lassen. Aber so eine TYPO3 Installation ist ein komplexes Gebilde aus der verwendeten TYPO3 Version, Extensions aus dem TYPO3 Extension Repository und den eigenen Einstellungen. Deswegen ist es gar nicht so einfach, den Gesundheitszustand einer TYPO3 Instanz zu überwachen. Mit einer Überwachungssoftware wie Nagios kann man hauptsächlich den Zustand des Servers und der Hardware überwachen. Aber für die Innereien einer TYPO3 Instanz gibt es bislang noch keine anständige Lösung. Zwei Firmen aus Kiel und Hamburg haben sich zusammen getan und eine flexible und leistungsfähige Lösung geschaffen, die diese Anforderungen erfüllen soll:

1. zentrales Testen und Überwachen von entfernten TYPO3 Instanzen, Extensions und Setups
2. Integration Tests (auf der Basis von Selenium)
3. Flexible und komfortable Verwaltung über TYPO3 Datensätze
4. Erweiterbarkeit des gesamten Systems

Caretaker

Herausgekommen ist der Caretaker, eine TYPO3 basierte Lösung. Hier eine kleine Auswahl der Features und Möglichkeiten:

• Prüfen der Erreichbarkeit (HTTP Status Code / Ping)
• TYPO3 Core Version prüfen
• unsichere Extensions finden
• gezielte Prüfung einer Extension auf Versionsnummer
• Blacklist für Benutzernamen und Passwörter
• TYPO3 Core auf nicht autorisierte Änderungen am Code prüfen
• (Nicht-)Existenz von Dateien prüfen, 
z.B. ENABLE_INSTALL_TOOL
• TYPO3_CONF_VARS prüfen, 
z.B. auf Default Install Tool Passwort
• verfügbare Extension Updates anzeigen
• Benachrichtigungssytem
• Integration von eigenen Test Services

Wie funktioniert der Caretaker?

Das Caretaker Basis System wird zum einen auf einem zentralen Server als TYPO3 Extension installiert. Dazu kommt dann die Erweiterung caretaker_instance, die die eigentlichen Tests enthält. caretaker_instance kommuniziert über eine mit RSA verschlüsselte Verbindung mit den einzelnen TYPO3 Instanzen. Zusätzlich gibt es noch die Möglichkeit, per SNMP mit Instanzen zu kommunizieren.

Funktionsweise von Caretaker

Der Caretaker Server kann dabei lediglich lesend auf die einzelnen TYPO3 Instanzen zugreifen. Updates können über Caretaker nicht automatisiert eingespielt werden, da die Gefahr zu groß ist, eine TYPO3 Instanz dadurch funktionsunfähig zu machen.

Die Informationen über die neuesten Änderungen bei TYPO3 Extensions bezieht Caretaker über einen Scheduler Task, der regelmäßig die Liste der Extensions aus dem TER bezieht. Dieser Scheduler Task ist seit TYPO3 4.5 Bestandteil von TYPO3. Die jeweils neuesten TYPO3 Versionsnummern werden aus einem RSS Feed von Sourceforge ermittelt. Änderungen am TYPO3 Core werden durch Fingerprints erkannt. Die Extension caretaker_integrity liefert einige Fingerprints bereits mit. Für neue TYPO3 Versionen können die Fingerprints über einen Cronjob in caretaker_integrity generiert werden.

Caretaker Backend

Im TYPO3 Backend gibt es nach der Installation von Caretaker ein neues Modul, in dem die einzelnen Instanzen gepflegt werden können. Um die Übersichtlichkeit zu erhöhen, können TYPO3 Instanzen in Instanzgruppen zusammengefasst werden. Außerdem wird durch Farben (rot, gelb, grün) der Zustand der einzelnen Instanzen bzw. Tests angezeigt. Im TYPO3 Backend werden zudem die Tests und Testgruppen gepflegt und individuelle Einstellungen gemacht.

Caretaker Modul im TYPO3 Backend

Die wichtigsten Tests im Überblick

Ein paar der Tests, die ich in meiner Caretaker Installation eingerichtet habe, möchte ich im Folgenden kurz vorstellen:

• unsichere Extensions
  Das TYPO3 Security Team markiert unsichere Extensions in der Extension Liste. Sobald der Caretaker feststellt, dass eine bestimmte Version einer Extension als unsicher markiert ist, wird Alarm geschlagen
• unsichere TYPO3 Version
  In der Testkonfiguration kann festgelegt werden, welche Versionsnummer mindestens erfüllt sein muss. So kann schnell festgestellt werden, ob unsichere TYPO3 Versionen verwendet werden
• Source Integrity
  Über die eingangs bereits erwähnten Fingerprints werden die Dateien des Core mit den Fingerprints verglichen. Dadurch können unerwünschte Änderungen an Core Dateien sofort erkannt werden
• Datei “ENABLE_INSTALL_TOOL” vorhanden
  Hier wird geprüft, ob die Datei in typo3conf vorhanden ist und jünger als 2 Stunden ist
  
• Standard Install Tool Password “joh316″ ist aktiv
  TYPO3 weist zwar darauf hin, wenn das Standard Password noch aktiv ist, aber ich lasse das zusätzlich durch den Caretaker prüfen
• Prüfung der BE User Accounts auf verbotene Passwörter
  Prüft alle Backend Accounts auf verbotene Passwörter wie “password”, “12345678″, etc.
  
• Deprecation Log aktiv
  Prüft, ob das Deprecation Log noch aktiv ist
  
• Extension Updates verfügbar
  Dieser Test zeigt alle verfügbaren Extension Updates an
  
• HTTP / Ping Test
  Prüft die Erreichbarkeit der Webseite per Ping und wertet zusätzlich noch den Status Code einer Anfrage per HTTP aus
  

Weitere Test Services:

• Logfile Analyzer Service
• Redmine Testcase
• Selenium Testcase

Caretaker Frontend

Zusätzlich zum Backend bietet Caretaker auch eine Frontend Ausgabe der Test Ergebnisse. Diese Ausgabe kann zum Beispiel Kunden zugänglich gemacht werden.

Caretaker Frontend Ausgabe

Benachrichtigungen

Caretaker liefer ein simples und ein erweitertes Benachrichtigungssystem per Mail gleich mit. Für das erweiterte Benachrichtigungssystem ist aber leider noch keine Dokumentation verfügbar. Tobias Liebig, einer der Caretaker Entwickler, hat aber bereits einen Blog Eintrag mit einer Anleitung angekündigt!

Systemvoraussetzungen für den Einsatz von Caretaker

Die TYPO3 Instanz mit dem Caretaker Server benötigt PHP 5.2 mit OpenSSL Unterstützung und TYPO3 4.3 oder höher.

Für die Instanzen reicht TYPO3 4.o oder höher, allerdings wird auch hier PHP 5.2 benötigt.

Download

Caretaker ist zwar grundsätzlich auch im TER verfügbar, allerdings ist die veröffentlichte Version mehr als ein Jahr alt und hat sich seit dem schon wieder stark weiter entwickelt.

Es empfiehlt sich deshalb, den aktuellen Stand aus dem Subversion Repository auszuchecken.

Links zum Thema

• Extensions im TER:
• typo3.org/extensions/repository/view/caretaker/current/
• typo3.org/extensions/repository/view/caretaker_instance/current/
• Forge:
• forge.typo3.org/projects/extension-caretaker
• SVN: https://svn.typo3.org/TYPO3v4/Extensions/caretaker
• Dokumentation: forge.typo3.org/projects/extension-caretaker/wiki
• Webseite:
• typo3-caretaker.org
• Mailingliste:
• http://lists.typo3.org/pipermail/typo3-project-caretaker/
• Twitter:
• @typo3_caretaker

Support

Unterstützung durch die Entwickler und andere User bekommt man über die oben genannte Mailingliste.

Caretaker Entwicklung unterstützen

Die an Caretaker beteiligten Entwickler und Firmen haben eine Menge Zeit und Geld in das Projekt investiert. Für weitere Features werden noch Spenden gesucht, um die Entwicklung zu finanzieren.

Auf meiner persönlichen Wunschliste steht vor allem die Möglichkeit, im Caretaker Backend Abfragen dieser Art zu starten: Filter alle Instanzen raus, die die Extension XYZ in Version 1.2.3 nutzen. Abfragen dieser Art sind bislang leider nicht möglich und das ist meiner Meinung nach das größte Manko von Caretaker, denn wenn z.B. das Security Team ein  Security Bulletin raus gibt, muss ich alle Instanzen (und ich verwalte mit Caretaker mittlerweile verdammt viele) von Hand kontrollieren.

Außerdem würde ich mir häufigere TER Releases wünschen, denn das würde sicher zur vermehrten Nutzung von Caretaker beitragen. Die aktuell im TER verfügbare Version ist soweit ich das in Erinnerung habe, nur bis TYPO3 4.4 kompatibel. Öftere Updates wären auch für die Extension caretaker_integrity mit den Fingerprints nötig. Der mitgelieferte Cronjob läuft zumindest bei mir noch nicht so ganz rund und es ist bei jedem TYPO3 Release Handarbeit angesagt, um die neuen Fingerprints zu erzeugen. Auch fehlen Fingerprints von vielen älteren TYPO3 Versionen, die mit dem aktuellen Cronjob leider nicht erzeugt werden können.

Fazit

Caretaker ist ein super System, um viele TYPO3 Instanzen zu überwachen. Zum aktuellen Zeitpunkt muss man beim Einsatz von Caretaker aber noch an diversen Stellen selber Hand anlegen und sich zum Beispiel die richtige Dokumentation zusammen suchen.

Gegenüber anderen auf TYPO3 spezialisieren Monitoring Systemen wie zum Beispiel t3manager, hat Caretaker aber den entscheidenden Vorteil, dass man das System auf einer eigenen Maschine installieren kann und die Daten über seine TYPO3 Instanzen nicht in fremde Hände geben muss. Außerdem kann Caretaker flexibel an eigene Wünsche angepast werden.

Bei genügend Interesse schreibe ich demächst einen weiteren Artikel, die die Installation und Einrichtung von Caretaker genauer beschreibt. Bitte das Interesse in den Kommentaren bekunden.

Mich würde jetzt noch interessieren, wer den Caretaker bereits einsetzt und welche Erfahrungen gemacht wurden.

------------------------------------------------------
Dies ist ein Post vom TYPO3 Blog typo3blogger.de!

TYPO3-EXT-SA-2011-015
Remote File Disclosure und Cross-Site Scripting Lücke in den Extensions pmkshadowbox and pmkslimbox

TYPO3-EXT-SA-2011-016
Remote Command Execution und Remote File Disclosure Lücke in der Extension pdf_generator2

Für alle drei genannten Extensions stehen aktualisierte Versionen zum Download im TER bereit. Ein Update wird wie immer dringend empfohlen.

------------------------------------------------------
Dies ist ein Post vom TYPO3 Blog typo3blogger.de!

Gemäß den Richtlinien des Security Teams werden für Sicherheitslücken, die nur von Admins ausgenutzt werden können, keine Security Bulletins veröffentlicht. Details stehen in diesem Artikel.

Die neue TYPO3 Version kann wie gehabt hier runtergeladen werden. Das Changelog findet sich im TYPO3 Wiki.

------------------------------------------------------
Dies ist ein Post vom TYPO3 Blog typo3blogger.de!

------------------------------------------------------
Dies ist ein Post vom TYPO3 Blog typo3blogger.de!

------------------------------------------------------
Dies ist ein Post vom TYPO3 Blog typo3blogger.de!

------------------------------------------------------
Dies ist ein Post vom TYPO3 Blog typo3blogger.de!

TYPO3-CORE-SA-2011-002:
Eine potentielle SQL Injection Schwachstelle, die nur TYPO3 4.5.0 bis 4.5.5 betrifft.

TYPO3-CORE-SA-2011-003:
Eine mögliche Schwachstelle, die zu cache flooding führen kann. Betroffen sind alle TYPO3 Versionen seit 4.2.

Wie immer wird ein zeitnahes Update auf die neu zur Verfügung gestellten Versionen 4.3.14, 4.4.11 oder 4.5.6 empfohlen.

------------------------------------------------------
Dies ist ein Post vom TYPO3 Blog typo3blogger.de!

• direct_mail_subscription (TYPO3-EXT-SA-2011-007)
  Risiko: Hoch
• rgsmoothgallery (TYPO3-EXT-SA-2011-008)
  Risiko: Hoch
• th_mailformplus (TYPO3-EXT-SA-2011-009)
  Risiko: Mittel
• ameos_dragndropupload (TYPO3-EXT-SA-2011-010)
  Risiko: Kritisch

Ein Update aller genannten Extensions wird dringed emfohlen.

Details finden sich in den jeweiligen Security Bulletins.

------------------------------------------------------
Dies ist ein Post vom TYPO3 Blog typo3blogger.de!

• MM DAM – FEFileList (mm_dam_filelist)
• Events (julle_events)
• WEC Staff Directory (wec_staffdirectory)
• TGM news (tgm_news)
• TGM media (tgm_media)
• TGM calendar module (tgm_cal)
• DAM Lightbox (damlightbox)
• Download system (sb_downloader)
• iwbase (iwbase)
• Fussballtippspiel (toto)
• Font resizer (fontsizer)
• Adminer (t3adminer)

Wenn Ihr betroffende Erweiterungen einsetzt heißt es wie immer, updaten oder eine andere Lösung finden…

------------------------------------------------------
Dies ist ein Post vom TYPO3 Blog typo3blogger.de!

formhandler

In Formhandler wurden SQL Injection und XSS gefixt, Info unter: http://typo3.org/teams/security/security-bulletins/typo3-extensions/typo3-ext-sa-2011-003/
Gefixte Version: 0.9.15

pbsurvey

In der Extension pbsurves war XSS möglich, Info unter http://typo3.org/teams/security/security-bulletins/typo3-extensions/typo3-ext-sa-2011-004/
Gefixte Version 1.3.1 

------------------------------------------------------
Dies ist ein Post vom TYPO3 Blog typo3blogger.de!