Security-Fix für den mySQL-Dumper

Liebe MySQLDumper-Anwender,

leider ist die Verzeichniserstellungsroutine, die der Dumper bisher benutzte um den Verzeichnisschutz zu erstellen, fehlerhaft. So ist es durch gezielte Manipulation möglich den Schutz zu umgehen. Die Folgen dürften jedem Admin bewusst sein.
Wenn der Verzeichnisschutz aus dem Dumper selbst heraus erstellt wurde, ist es dringend zu empfehlen entweder folgenden Fix (siehe weiter unten) manuell durchzuführen oder die entsprechende Version erneut herunter zu laden. Alle bisher veröffentlichten Versionen sind betroffen!
Ich habe die entsprechenden Downloadpakete soeben aktualisiert.

Nach dem Einspielen der aktualisierten Version oder dem Ausführen des manuellen Fixes muss ein bestehender (alter) Verzeichnisschutz entfernt werden (entweder durch Löschen der Dateien .htaccess und .htpasswd im MySQLDumper-Verzeichnis oder in neueren Versionen durch Löschen des Schutzes auf der Startseite). Danach kann der Schutz erneut angelegt werden. Nun wird er so geschrieben, dass der Schutz für alle Aufrufarten funktioniert.

Wir bitten die Unannehmlichkeiten zu entschuldigen.
Danke an das Typo3-Sicherheitsteam, welches uns auf die Lücke aufmerksam machte.

Öffne main.php
Tausche Zeile 52 (in Version 1.23 pre-release ist es Zeile 52; in älteren versionen suche nach "LIMIT", um die Zeile zu finden)

PHP-Code:

$htaccess = "AuthName \"MySQLDump\"\nAuthType Basic\nAuthUserFile ". $config['paths']['root'].".htpasswd\n<Limit GET>\nrequire valid-user\n</Limit>"; 


gegen

PHP-Code:

$htaccess = "AuthName \"MySQLDump\"\nAuthType Basic\nAuthUserFile \"". $config['paths']['root'].".htpasswd\"\nrequire valid-user\n"; 


zusätzlich solltet Ihr das Verzeichnis auf 755 setzen ....
somit ist jegliche Änderung des Zugangschutzes ohne Server-Zugang unmöglich