[TuGLE] Update auf 4.4.1, phpmyadmin, sr_feuser_register
Falko Trojahn
ftrojahn at smi-softmark.de
Fr Jul 30 10:22:43 CEST 2010
Hallo Daniel,
vorab: ich weiß, dass das "Inhalt schnell in den Betreff schreiben und
weg damit" in Firmen weit verbreitet ist, aber nicht jeder liest die
dann sehr langen Betreffzeilen - und auf die Links klicken kann man im
Betreff auch nicht. Danke für dein Verständnis.
> Update auf 4.4.1 empfohlen, da beachtliche Sicherheitsrisiken
>
http://www.heise.de/newsticker/meldung/Kritische-Sicherheitsluecken-in-Typo3-1048026.html
Für alle TYPO3-Administratoren wird empfohlen, via
http://typo3.org/teams/security/ die typo3-announce Mailing Liste zu
abonnieren. Dort kam die Meldung am 28.7. mittags, und z.B. wir haben
natürlich umgehend reagiert. Weitere Meldungen sind vom 28.7. bzw. 29.7
betreffs phpmyadmin und sr_feuser_register.
Übrigens - ich will diese Sicherheitslücken nicht herunterspielen und
diese sind natürlich problematisch, aber - die meisten Lücken sind erst
durch *angemeldete BE-Nutzer* ausnutzbar bzw. nur in speziellen Fällen.
Da gibt es ganz andere Systeme, die (bzw. deren Erweiterungen) ohne
Anmeldung remote angreifbar sind - und wo es auch entsprechende Exploits
gibt: http://www.exploit-db.com/webapps/
Als Tip für Server-Admins: so lassen sich per Änderung der Verlinkung
sämtliche TYPO3-Installationen auf einem Server binnen Minuten auf die
nächste Version umstellen, weil die typo3_src Ordner alle aus demselben
Verzeichnis genutzt werden:
In /var/lib/typo3/
default -> 4.3
4.2 -> typo3_src-4.2.13
4.3 -> typo3_src-4.3.4
4.4 -> typo3_src-4.4.1
typo3_src-4.2.13
typo3_src-4.3.4
typo3_src-4.4.1
Natürlich müssen alle Installationen auch auf den entsprechenden Ordner
verlinken, z.B. mit
cd public_html
rm typo3_src ; ln -s /var/lib/typo3/4.3 typo3_src
Damit ist gewährleistet, dass das einfache Ändern des Links
/var/lib/typo3/4.3 z.B. von
typo3_src-4.3.3
auf
typo3_src-4.3.4
genügt, so ein Sicherheitsupdate einzuspielen. Diese Verzeichnisse
müssen dann natürlich entsprechend in der Apache-Konfiguration
berücksichtigt werden.
Weiterhin gibt es interessante Extensions, die dem Administrator das
Leben leichter machen - aber dazu fange ich mal eine neue Mail an.
Euch allen einen schönen Tag
Falko
--
Falko Trojahn fon +49-341-3581294
Dipl.-Ingenieur Netzwerke/Support fax +49-341-3581295
SMI Softmark Informationstechnologien GmbH
Sitz: D-04416 Markkleeberg, Friedrich-Ebert-Str. 51
Registergericht: Amtsgericht Leipzig HRB 164
Geschäftsführer: Andreas Griesmann
www.smi-softmark.de www.elektronisches-laborbuch.de
Mehr Informationen über die Mailingliste TUGLE