Fragen zu Sicherheitslücken

Fragen zu Sicherheitslücken. Typo3, WordPress, Blog, Sicherheitslücken, Clickjackig, Phishing 27.06.2015 – ( KOD )
 
 
Ein Kommentar zu „Gravierende Sicherheitslücken bei Typo3“ wurde komplett entfernt.

Die gestellten Fragen möchte ich hier beantworten.
Damit sich der Fragesteller auch wiedererkennt.
„Es ist ja nur ein CMS System“ (Content Management System)

Richtig. Es ist nur ein CMS-System.
Was kann man damit fürchterliches anrichten?
Vorweg. Ein schlampiger WEB-Auftritt in Bezug auf Sicherheit kann Rückschlüsse auf andere Bereiche geben. Für Anwendungen die von außen zu erreichen sind.
 
Was man anrichten kann?
Bin ich an die richtigen Zugangsdaten des CMS-Systems (beispielsweise Typo3 oder auch WordPress. Bei Seiten ohne Grundsicherung für Hacker kein großes Problem) gelangt, mache ich folgendes:
Ich ändere die Passwörter. Bis einem der Administratoren auffällt, hier stimmt was nicht, vergeht je nach Interesse an seinem System eine gewisse Zeit. Ich könnte auch noch zur Verwirrung beitragen. Nach einem jetzt falschen Login (ich habe ja die Zugangsdaten geändert) könnte ich eine Info schicken. „Zur Zeit wegen Wartungsarbeiten bei (Provider) ……“ Damit könnten sich dann die Administratoren zufrieden geben und meine Falle (die ich nach 17.00h starte) hat einen längere Zeit zum Überleben.
 
Die Falle
Ich platziere eine ganz tolle Information.
„Damit Sie mit uns schneller in Verbindung treten können haben wir……..eine besonderen Service eingerichtet. Klicken Sie auf den folgenden Link und installieren Sie die Service-App von …..“
 
Folgen
Da dieser Hinweis auf der ORIGINALSEITE ihres Vertrauens steht, klicken Sie den Link an und installieren damit eine Schadsoftware.
 
Lassen wir es bei diesem kleinen Beispiel. Man könnte sich die Finger wund schreiben.
Geheimnisse sind das hier keine.
 
Ich hoffe Ihre Fragen sind damit beantwortet. Bei weiteren Fragen bitte eine Mail (ich kann Ihre Aufregung ja verstehen) oder in einem etwas anderen Ton über die Kommentarfunktion.
 


Gravierende Sicherheitslücken bei Typo3

Gravierende Sicherheitslücken bei Typo326.06.2015 – ( KOD )
 
 
Gravierende Sicherheitslücken bei Typo3 bei Versionen < 4.7.0

Die Entwickler des CMS Typo3 warnen vor einer gravierenden Sicherheitslücke. Darüber kann sich jeder authentifizieren, wenn ihm nur der Name eines bereits registrierten Benutzers bekannt ist – denn ein Passwort wird nicht abgefragt. Das Typo3-Team hat bereits Updates und einen Patch bereitgestellt.
 
Von der Schwachstelle betroffen ist das Frontend des CMS. Das Backend ist sicher. Die Schwachstelle tritt in vielen älteren Versionen des CMS auf, darunter 4.3.0 bis 4.3.14, 4.4.0 bis 4.4.15, 4.5.0 bis 4.5.39 sowie 4.6.0 bis 4.6.18. Der Konfigurationsfehler befindet sich in der Systemerweiterung Rsaauth. Nur wenn diese Erweiterung für das Frontend-Login konfiguriert ist, tritt das Problem auf. Alle Versionen ab 4.7.0 sind sicher. Quelle: golem.de

 
Hier ein Tool mit dem man die Typo3 Version überprüfen kann und ob ein Update dringend erforderlich ist.
 
 
Siehe auch
  Bundesamt für Sicherheit warnt von Clickjacking