Angeblicher Expoit für TYPO3 Version 4.0
Seit einigen Tagen wird u.a. über Twitter von einer Verwundbarkeit von TYPO3 Version 4.0 für SQL Injection Angriffe berichtet. Es handelt sich bei dem Exploit jedoch nicht um eine Lücke in der TYPO3 Software. Das beschriebene Verfahren betrifft den Parameter showUid, der von TYPO3 Extensions verwendet werden kann, um eine Einzelansicht von Datensätzen zu ermöglichen.
Der jeweilige Extension Programmierer ist dafür verantwortlich, den übergebenen Parameter vor der Verwendung in SQL Abfragen zu überprüfen. Ein gültiger Parameter ist hier immer eine Integer Zahl. Sofern der Programmierer die Grundregeln sicherer PHP Skripte befolgt, besteht keinerlei Gefahr für den Anwender.
Ein Angreifer müsste zunächst wissen, ob eine verwundbare Extension in der TYPO3 Installation verwendet wird. Das TYPO3 Security Team ist ständig dabei, das Extension Repository von nachlässig progammierten Erweiterungen frei zu halten. Erst vor einer Woche wurde eine Liste von 10 Extensions mit Sicherheitslücken veröffentlicht.
Nochmal zum Verständnis: die Kernsoftware TYPO3 wird von einem überschaubaren Team von Entwicklern entwickelt und gepflegt. Änderungen am Code werden erst übernommen, wenn andere Mitglieder des Teams zugestimmt haben. Für TYPO3 Erweiterungen dagegen gilt: jeder kann diese programmieren und veröffentlichen. Dadurch schwankt die Code-Qualität von Extensions sehr stark - je nach Erfahrung und Sorgfalt des Programmierers. Fehler und Sicherheitslücken in Extensions lassen daher keinen Rückschluss auf die Sicherheit von TYPO3 im allgemeinen zu.
