Security-Fix für den mySQL-Dumper - NetVision-Technik

Security-Fix für den mySQL-Dumper · 04.05.2008, 10:35

Liebe MySQLDumper-Anwender,

leider ist die Verzeichniserstellungsroutine, die der Dumper bisher benutzte um den Verzeichnisschutz zu erstellen, fehlerhaft. So ist es durch gezielte Manipulation möglich den Schutz zu umgehen. Die Folgen dürften jedem Admin bewusst sein.
Wenn der Verzeichnisschutz aus dem Dumper selbst heraus erstellt wurde, ist es dringend zu empfehlen entweder folgenden Fix (siehe weiter unten) manuell durchzuführen oder die entsprechende Version erneut herunter zu laden. Alle bisher veröffentlichten Versionen sind betroffen!
Ich habe die entsprechenden Downloadpakete soeben aktualisiert.

Nach dem Einspielen der aktualisierten Version oder dem Ausführen des manuellen Fixes muss ein bestehender (alter) Verzeichnisschutz entfernt werden (entweder durch Löschen der Dateien .htaccess und .htpasswd im MySQLDumper-Verzeichnis oder in neueren Versionen durch Löschen des Schutzes auf der Startseite). Danach kann der Schutz erneut angelegt werden. Nun wird er so geschrieben, dass der Schutz für alle Aufrufarten funktioniert.

Wir bitten die Unannehmlichkeiten zu entschuldigen.
Danke an das Typo3-Sicherheitsteam, welches uns auf die Lücke aufmerksam machte.

Öffne main.php
Tausche Zeile 52 (in Version 1.23 pre-release ist es Zeile 52; in älteren versionen suche nach "LIMIT", um die Zeile zu finden)

PHP-Code:


			
$htaccess = "AuthName \"MySQLDump\"\nAuthType Basic\nAuthUserFile ". $config['paths']['root'].".htpasswd\n<Limit GET>\nrequire valid-user\n</Limit>";

gegen

PHP-Code:


			
$htaccess = "AuthName \"MySQLDump\"\nAuthType Basic\nAuthUserFile \"". $config['paths']['root'].".htpasswd\"\nrequire valid-user\n";

zusätzlich solltet Ihr das Verzeichnis auf 755 setzen ....
somit ist jegliche Änderung des Zugangschutzes ohne Server-Zugang unmöglich

desaster · 04.05.2008, 19:18

Wobei ich mir gedacht habe, der sicherste Weg ist, den Dumper gar nicht auf dem Server zu lassen, sondern nur bei Bedarf hochkopieren, und nach den Aktionen wieder löschen.

Cerberus · 04.05.2008, 19:28

wenn man den ordentlich "versteckt" und den Zugang absichert ist der eigentlich eine gute Sache -- finde ich

HaBe · 04.05.2008, 19:45

benutz ich nur zum einspielen der daten auf einen neuen server. ansonsten ist das teil nicht über inet erreichbar (auch wenn grundsätzlich alle verwaltungstools bei mir immer nur über https und htaccess erreichbar sind)...

04.05.2008, 19:28	#3
Cerberus Administrator Registriert seit: 07.03.2008 Ort: 3. Bit Links hinter dem Kernel Alter: 48 Beitr?ge: 9.638 Abgegebene Danke: 1.121 Erhielt 4.498 Danke für 458 Beiträge Themenstarter Downloads: 18 Uploads: 9 Nachrichten: 2257 Renommee-Modifikator: 10	wenn man den ordentlich "versteckt" und den Zugang absichert ist der eigentlich eine gute Sache -- finde ich __________________ Fragen gehören ins Forum - und NICHT in mein Postfach ! Ich erteile KEINEN Privatunterricht über e-mail und PN ! Hackliste Br. NV nach Threadstarter u. Aktualität <--+--> Liste Hacks Bereich NV Alphabethisch

Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, G?ste: 1)