Kritische Lücke bei Typo3 entdeckt

NAja, wer noch immer register_globals eingeschaltet hat, dem ist eh nicht zu helfen. Das sollte sich mittlerweile rumgesprochen haben

.. habe meine ganzen TYPO3 Projekte (ca. 15) überprüft und bei keinem einzigen ist register_globals auf on, diese Schwachstelle kann also bei einem ordentlich konfigurierten Server sowieso nicht eingesetzt werden..

Wer das aktiviert hat ist selber schuld.

nuff said…

Bin gerade dabei 9 voneinander isolierte typo3 sites auf den letztstand zu bringen. der typo3-source hat ca 46 MB in zig tausend files, per ftp transferiert dauert das pro site ca 1 stunde! Muss mit meinem provider reden, der soll mir einen sftp zugang machen bei dem ich alle sites auf einmal im zugriff habe und per remote copybefehle updates schneller verteilen kann ;-)

Kann man nicht einfach die 46 MB hochladen, entpacken, und per drag-und-drop auf das idente Backup der Seite kopieren?

wenn nur ftp zugang hast NICHT

Wenn ich wirklich nur FTP Zugang habe dann spiele ich das .tar.gz hoch und entpacke es mit PHP.

exec('tar -xzf typo3_src.4.5.8.tar.gz');

und dann noch den Symlink ändern
exec('rm typo3_src');
exec('ln -s typo3_src typo3_src-4.5.8');

und fertig ist man :) Wenn exec nicht erlaubt ist ist es natürlich blöd - dann am besten den Hoster wechseln ;)

TYPO3 Source entpackt per FTP hochladen ist ein totaler Krampf, das stimmt..

lg

probiere ich gleich aus - DANKE!!

Ist sowas denn wirklich interessant genug, dass der standard darüber schreibt? sicherheitslücken gibt's wie sand am meer - leute die typo3 verwenden haben wohl einen feed um über sowas informiert zu werden. 99.9% kümmert das nicht die bohne.

hauptsache typo! auch wenns nur 5 statische unterseiten gibt. wenn man keine gewachsenen schnittstellen für erp, wawi oder ähnliches braucht, ist typo alleine aufgrund seiner komplexität in der basisinstallation sowieso schon in 80% der fälle falsch eingesetzt...

und exploits gibts wie sand am meer. eh bei jedem cms. hauptsache das generator tag mit versionsnummer wird angezeigt, der admin zugang offen stehen gelassen, und das standarmäßige sql-präfix bleibt gesetzt,...

was das den standard interessiert, frag ich mich zudem auch,... gibts jetzt dann bald eine kategorie web, cms, security exploits?

ps: typo ist, wenn nicht ordentlich administriert sowieso ein offenes haus,... die wartung will sich aber logischerweise eh keiner leisten.

Ich bin mit TYPO3 schneller mit einer Seite fertig als wenn ich irgendwelche statischen Seiten erstelle oder ein anderes CMS verwende ;-) Man hat halt - wenn der Kunde irgendwann mehr will - auch schon eine ganz gute Grundlage.
Ich habe mal eine kleine Mini-Site mit Wordpress erstellt aber bin dann wieder zu TYPO3 zurück weil Wordpress dann gerade für Content-Seiten schlecht geeignet ist (war? Hab es mir länger nicht angesehen)

Zu der Lücke: register_globals ist bei keinem vernünftigen Hoster "on" und sollte auch nicht auf "on" gestellt werden - bei keinem von meinen TYPO3 Projekten kann diese Lücke ausgenützt werden.

wenn sie eine minisite mit typo umsetzen, dann müssen sie ja auch sehr wohl das template selbst schreiben. und dann haben sie 3mb template und inhalt geschaffen und einen rattenschwanz mit 50mb vulnerability an "stillen" funktionen, die eh wahrscheinlich niemals wer brauchen wird.

verstehen sie mich nicht falsch,... ich mag typo sogar. (mal abgesehen von typoscript),...
aber heutzutage, gibts da einige bessere möglichkeiten für kleine und grosse projekte.

oft gehts ja nur um die möglichkeit, dass sich der kunde seine inhalte selbst verwalten kann,... das können sie aber mit jedem x-beliebigen cms besser oder schlechter erfüllen.

ad wordpress:

hat auch vor und nachteile. cms würd ichs aber nach wie vor nicht nennen. eher blogroll.

ob sinnvoll oder nicht ist da zweitrangig. ;-)