U posljednje su vrijeme učestale vijesti o ranjivosti PHP-a i razičitih aplikacija pisanih u tom popularnom porgramskom jeziku. Nakon PHP Bulletin Boarda, došao je na red i popularni Content Management System (CMS) Typo3.

Detaljan opis nekoliko otkrivenih ranjivosti dan je na adresi:

http://www.websec.org/adv/typo3.html

Ukratko, moguće je pažljivo oblikovanim stringom natjerati Typo da izvrši neku SQL naredbu.

Provjera logova na jednom poslužitelju na kojem se Typo koristi za upravljanje sadržajem otkrila je pokušaje provale. Pretpostavlja se da je otvoren korisnički račun SMS, pa ga se pokušava iskoristiti da bi se izvršavala naredba SQL UPDATE. Netko kao korisnik CMS pokusava napraviti sljedeće:

6688 Init DB cms

6688 Query UPDATE tt_content set header='Naslovnica...
Your admin is an asshole
',bodytext='Mybe some of you are asking the right question - why is the admin of yoursite.xx an asshole :) So..... he is as many other people using Direct Connect, to share same files with the world, download something, etc. But who the fuck would expect that he would share his whole file system... including one very important file - a file conatining all of his passwords and usernames :) So, now you understand, why he is an asshole....

The second thing is, that a friend of mine, who discovered this, send him an e-mail about 2 weeks ago.... and.... nothing happened :D So, this is the last try to tell him - \"hey man, do something with it !!!! \"

Pokušaj promjene početne stranice u ovom slučaju nije uspio, ali demonstrira način na koji se nastoji napraviti "defacement".

Ranjiva je nešto starija verzija Typo-a, v 3.5b5. Zadnja objavljena verzija je 3.7, pa preporučujemo da se napravi dogradnja.

No i pored toga bilo bi dobro preventivno ograničiti pristup adminstrativom dijelu weba. Ako koristite Apache, to je lako pomoću .htaccess datoteke.

Administrativno sučelje uobičajeno se nalazi u direktoriju

[install_dir]/typo3_src-3.[x].[x]/typo3

.htaccess datoteka ne smije biti u vlasništvu korisničke oznake i grupe pod kojom se vrti Apache web server, pa je bolje da vlasnik bude root s ovlastima 644 :

-rw-r--r-- 1 root root 96 Jan 3 10:45 .htaccess

Sadrzaj .htaccess datoteke je :

Order Deny,Allow

Deny from all

Allow from 192.168.10

Allow from 192.168.11.11

Allow from localhost.localdomain.ild

Naravno, vi ćete upisati adrese s kojih ćete dozvoliti pristup. Najbolje je unijeti fiksne adrese s kojih ćete administrirati CMS i upisivati sadržaje, poput adresa računala autora i urednika.

Pazite da ograničite pristup samo navedenom direktoriju, kako ne biste spriječili pristup samim web stranicama. :-)