NetVision-Technik

Zur?ck   NetVision-Technik > Forum > Server > Webserver > Security

Security Hier kommen alle Fragen und Lösungen zur Sicherheit und zu Fixes am Serversystem rein

Antwort
 
Themen-Optionen Ansicht
Alt 04.05.2008, 11:35   #1
Security-Fix für den mySQL-Dumper
Cerberus Cerberus ist gerade online 04.05.2008, 11:35

Liebe MySQLDumper-Anwender,

leider ist die Verzeichniserstellungsroutine, die der Dumper bisher benutzte um den Verzeichnisschutz zu erstellen, fehlerhaft. So ist es durch gezielte Manipulation möglich den Schutz zu umgehen. Die Folgen dürften jedem Admin bewusst sein.
Wenn der Verzeichnisschutz aus dem Dumper selbst heraus erstellt wurde, ist es dringend zu empfehlen entweder folgenden Fix (siehe weiter unten) manuell durchzuführen oder die entsprechende Version erneut herunter zu laden. Alle bisher veröffentlichten Versionen sind betroffen!
Ich habe die entsprechenden Downloadpakete soeben aktualisiert.

Nach dem Einspielen der aktualisierten Version oder dem Ausführen des manuellen Fixes muss ein bestehender (alter) Verzeichnisschutz entfernt werden (entweder durch Löschen der Dateien .htaccess und .htpasswd im MySQLDumper-Verzeichnis oder in neueren Versionen durch Löschen des Schutzes auf der Startseite). Danach kann der Schutz erneut angelegt werden. Nun wird er so geschrieben, dass der Schutz für alle Aufrufarten funktioniert.

Wir bitten die Unannehmlichkeiten zu entschuldigen.
Danke an das Typo3-Sicherheitsteam, welches uns auf die Lücke aufmerksam machte.

Öffne main.php
Tausche Zeile 52 (in Version 1.23 pre-release ist es Zeile 52; in älteren versionen suche nach "LIMIT", um die Zeile zu finden)
PHP-Code:
$htaccess "AuthName \"MySQLDump\"\nAuthType Basic\nAuthUserFile "$config['paths']['root'].".htpasswd\n<Limit GET>\nrequire valid-user\n</Limit>"
gegen
PHP-Code:
$htaccess "AuthName \"MySQLDump\"\nAuthType Basic\nAuthUserFile \""$config['paths']['root'].".htpasswd\"\nrequire valid-user\n"
zusätzlich solltet Ihr das Verzeichnis auf 755 setzen ....
somit ist jegliche Änderung des Zugangschutzes ohne Server-Zugang unmöglich
__________________

Fragen gehören ins Forum - und NICHT in mein Postfach !
Ich erteile KEINEN Privatunterricht über e-mail und PN !

Hackliste Br. NV nach Threadstarter u. Aktualität <--+--> Liste Hacks Bereich NV Alphabethisch

 
Benutzerbild von Cerberus
Cerberus
Administrator
Registriert seit: 07.03.2008
Ort: 3. Bit Links hinter dem Kernel
Alter: 49
Beitr?ge: 9.639
Abgegebene Danke: 1.121
Erhielt 4.499 Danke für 458 Beiträge
Downloads: 18
Uploads: 9
Nachrichten: 2258
Hits: 13660
Mit Zitat antworten
Folgende 3 Benutzer sagen Danke zu Cerberus für den nützlichen Beitrag:
Dangerman (04.05.2008), desaster (04.05.2008), DoLo (04.05.2008)
Alt 04.05.2008, 20:18   #2
desaster
Benutzer
Punkte: 4.444, Level: 42 Punkte: 4.444, Level: 42 Punkte: 4.444, Level: 42
Levelaufstieg: 47% Levelaufstieg: 47% Levelaufstieg: 47%
Aktivität: 0% Aktivität: 0% Aktivität: 0%
Letzte Erfolge
 
Benutzerbild von desaster
 
Registriert seit: 19.03.2008
Beitr?ge: 81
Abgegebene Danke: 137
Erhielt 58 Danke für 5 Beiträge
Downloads: 3
Uploads: 0
Nachrichten: 1
Renommee-Modifikator:
157 desaster ist jedem bekanntdesaster ist jedem bekanntdesaster ist jedem bekanntdesaster ist jedem bekanntdesaster ist jedem bekanntdesaster ist jedem bekannt
Standard

Wobei ich mir gedacht habe, der sicherste Weg ist, den Dumper gar nicht auf dem Server zu lassen, sondern nur bei Bedarf hochkopieren, und nach den Aktionen wieder löschen.
desaster ist offline   Mit Zitat antworten Nach oben
Alt 04.05.2008, 20:28   #3
Cerberus
Administrator
 
Benutzerbild von Cerberus
 
Registriert seit: 07.03.2008
Ort: 3. Bit Links hinter dem Kernel
Alter: 49
Beitr?ge: 9.639
Abgegebene Danke: 1.121
Erhielt 4.499 Danke für 458 Beiträge
Themenstarter Themenstarter
Downloads: 18
Uploads: 9
Nachrichten: 2258
Renommee-Modifikator:
10 Cerberus genießt hohes AnsehenCerberus genießt hohes AnsehenCerberus genießt hohes AnsehenCerberus genießt hohes AnsehenCerberus genießt hohes AnsehenCerberus genießt hohes AnsehenCerberus genießt hohes AnsehenCerberus genießt hohes AnsehenCerberus genießt hohes AnsehenCerberus genießt hohes AnsehenCerberus genießt hohes Ansehen
Standard

wenn man den ordentlich "versteckt" und den Zugang absichert ist der eigentlich eine gute Sache -- finde ich
__________________

Fragen gehören ins Forum - und NICHT in mein Postfach !
Ich erteile KEINEN Privatunterricht über e-mail und PN !

Hackliste Br. NV nach Threadstarter u. Aktualität <--+--> Liste Hacks Bereich NV Alphabethisch
Cerberus ist gerade online   Mit Zitat antworten Nach oben
Alt 04.05.2008, 20:45   #4
HaBe
Erfahrener Benutzer
Punkte: 8.538, Level: 62 Punkte: 8.538, Level: 62 Punkte: 8.538, Level: 62
Levelaufstieg: 30% Levelaufstieg: 30% Levelaufstieg: 30%
Aktivität: 0% Aktivität: 0% Aktivität: 0%
Letzte Erfolge
 
Benutzerbild von HaBe
 
Registriert seit: 24.03.2008
Beitr?ge: 257
Abgegebene Danke: 102
Erhielt 54 Danke für 3 Beiträge
Downloads: 3
Uploads: 0
Nachrichten: 2
Renommee-Modifikator:
459 HaBe hat eine strahlende ZukunftHaBe hat eine strahlende ZukunftHaBe hat eine strahlende ZukunftHaBe hat eine strahlende ZukunftHaBe hat eine strahlende ZukunftHaBe hat eine strahlende ZukunftHaBe hat eine strahlende ZukunftHaBe hat eine strahlende ZukunftHaBe hat eine strahlende ZukunftHaBe hat eine strahlende ZukunftHaBe hat eine strahlende Zukunft
Standard

benutz ich nur zum einspielen der daten auf einen neuen server. ansonsten ist das teil nicht über inet erreichbar (auch wenn grundsätzlich alle verwaltungstools bei mir immer nur über https und htaccess erreichbar sind)...
HaBe ist offline   Mit Zitat antworten Nach oben
Antwort


Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, G?ste: 1)
 

Forumregeln
Es ist Ihnen nicht erlaubt, neue Themen zu verfassen.
Es ist Ihnen nicht erlaubt, auf Beitr?ge zu antworten.
Es ist Ihnen nicht erlaubt, Anh?nge hochzuladen.
Es ist Ihnen nicht erlaubt, Ihre Beitr?ge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.

Gehe zu


Alle Zeitangaben in WEZ +1. Es ist jetzt 22:36 Uhr.


Powered by vBulletin® Version 3.8.9 (Deutsch)
Copyright ©2000 - 2024, vBulletin Solutions, Inc.
Template-Modifikationen durch TMS