[TuGLE] Update auf 4.4.1, phpmyadmin, sr_feuser_register

Falko Trojahn ftrojahn at smi-softmark.de
Fr Jul 30 10:22:43 CEST 2010 

Hallo Daniel,

vorab: ich weiß, dass das "Inhalt schnell in den Betreff schreiben und
weg damit" in Firmen weit verbreitet ist, aber nicht jeder liest die
dann sehr langen Betreffzeilen - und auf die Links klicken kann man im
Betreff auch nicht. Danke für dein Verständnis.

> Update auf 4.4.1 empfohlen,    da beachtliche Sicherheitsrisiken

>
http://www.heise.de/newsticker/meldung/Kritische-Sicherheitsluecken-in-Typo3-1048026.html

Für alle TYPO3-Administratoren wird empfohlen, via
http://typo3.org/teams/security/  die typo3-announce Mailing Liste zu
abonnieren. Dort kam die Meldung am 28.7. mittags, und z.B. wir haben
natürlich umgehend reagiert. Weitere Meldungen sind vom 28.7. bzw. 29.7
betreffs phpmyadmin und sr_feuser_register.

Übrigens - ich will diese Sicherheitslücken nicht herunterspielen und
diese sind natürlich problematisch, aber - die meisten Lücken sind erst
durch *angemeldete BE-Nutzer* ausnutzbar bzw. nur in speziellen Fällen.
Da gibt es ganz andere Systeme, die (bzw. deren Erweiterungen) ohne
Anmeldung remote angreifbar sind - und wo es auch entsprechende Exploits
gibt: http://www.exploit-db.com/webapps/

Als Tip für Server-Admins: so lassen sich per Änderung der Verlinkung
sämtliche TYPO3-Installationen auf einem Server binnen Minuten auf die
nächste Version umstellen, weil die typo3_src Ordner alle aus demselben
Verzeichnis genutzt werden:

In /var/lib/typo3/

default -> 4.3

4.2 -> typo3_src-4.2.13
4.3 -> typo3_src-4.3.4
4.4 -> typo3_src-4.4.1

typo3_src-4.2.13
typo3_src-4.3.4
typo3_src-4.4.1

Natürlich müssen alle Installationen auch auf den entsprechenden Ordner
verlinken, z.B. mit
  cd public_html
  rm typo3_src ; ln -s /var/lib/typo3/4.3 typo3_src

Damit ist gewährleistet, dass das einfache Ändern des Links
/var/lib/typo3/4.3 z.B. von

typo3_src-4.3.3

auf

typo3_src-4.3.4

genügt, so ein Sicherheitsupdate einzuspielen. Diese Verzeichnisse
müssen dann natürlich entsprechend in der Apache-Konfiguration
berücksichtigt werden.

Weiterhin gibt es interessante Extensions, die dem Administrator das
Leben leichter machen - aber dazu fange ich mal eine neue Mail an.

Euch allen einen schönen Tag
Falko

-- 
Falko Trojahn                     fon +49-341-3581294
Dipl.-Ingenieur Netzwerke/Support fax +49-341-3581295

SMI Softmark Informationstechnologien GmbH
Sitz: D-04416 Markkleeberg, Friedrich-Ebert-Str. 51
Registergericht: Amtsgericht Leipzig HRB 164
Geschäftsführer: Andreas Griesmann
www.smi-softmark.de www.elektronisches-laborbuch.de

Mehr Informationen über die Mailingliste TUGLE