[Frage] Typo3 4.5.29 [Gelöst]

  • Chrissli Chrissli
    Jedi-General
    0 x
    1015 Beiträge
    28 Hilfreiche Beiträge
    01. 08. 2013, 10:11

    Hallo zusammen,

    ich verwende auf vielen Installationen aktuell Version 4.5.25 und hatte bisher keine Not diese zu aktualisieren.

    Da vorgestern das Update 4.5.29 released wurde bin ich mir unschlüssig ob ich hier mitziehen muss.

    Insbesondere wg. dem Problem mit Flowplayer:
    Ich persönlich habe die flowplayer-Library eingebunden und in Verwendung, allerdings verwende ich hierfür kein Plugin und auch kein spezielles CE, sondern die FLV/MP4 Dateien werden über die Ressourcen eingebunden und direkt im Seitenquellcode referenziert, so dass es in meinen Augen keinen Unterschied machen kann, ob hier eine andere Typo3-Version verwendet wird. Integration im Quellcode wie bei einer nicht-Typo3-Website, nur eben dynamisch mit Dateipfad aus den Ressourcen ( Sprich field = media )

    Zudem liegen die Dateien lokal auf dem Server d.h. keine externen Videos oder ähnliches, wie soll hier also eine XSS-Lücke zustande kommen die ausgenutzt wird.

    God's in his heaven, all's right with the world

  • karlchen karlchen
    Jedi-General
    1 x
    1433 Beiträge
    30 Hilfreiche Beiträge
    01. 08. 2013, 15:02 - Lösung

    Das XSS Problem liegt ja scheinbar im Player selbst, ihm übergebene Parameter scheinen nicht korrekt geprüft zu werden. Das SicherheitsUpdate besteht daher auch nur darin den Player auszutauschen, im Fall von 4.5.29 ist es sogar "nur" der AudioPlayer: Siehe hier: http://wiki.typo3.org/TYPO3_4.5.29

    Biste jedoch sicher, dass du jede erdenkliche Art durchdacht hast wie man die Lücke ausnutzen könnte ;) ? Auch bei Ausnutzung möglicher anderer Lücken in Extensions, Server Config / DNS Manipulationen etc ?

    Da es in diesem Fall ein sehr einfacher FIX ist, würde ich einfach die player.swf austauschen und du musst dir da um nix weiter nen Kopf machen :)


  • 1
  • karlchen karlchen
    Jedi-General
    1 x
    1433 Beiträge
    30 Hilfreiche Beiträge
    01. 08. 2013, 15:02

    Das XSS Problem liegt ja scheinbar im Player selbst, ihm übergebene Parameter scheinen nicht korrekt geprüft zu werden. Das SicherheitsUpdate besteht daher auch nur darin den Player auszutauschen, im Fall von 4.5.29 ist es sogar "nur" der AudioPlayer: Siehe hier: http://wiki.typo3.org/TYPO3_4.5.29

    Biste jedoch sicher, dass du jede erdenkliche Art durchdacht hast wie man die Lücke ausnutzen könnte ;) ? Auch bei Ausnutzung möglicher anderer Lücken in Extensions, Server Config / DNS Manipulationen etc ?

    Da es in diesem Fall ein sehr einfacher FIX ist, würde ich einfach die player.swf austauschen und du musst dir da um nix weiter nen Kopf machen :)

  • Chrissli Chrissli
    Jedi-General
    0 x
    1015 Beiträge
    28 Hilfreiche Beiträge
    06. 08. 2013, 01:25

    Jopp, Danke!
    So hab' ich's dann auch gemacht.
    Sicher ist sicher.

    God's in his heaven, all's right with the world

  • 1