desc
Warning: Cannot modify header information - headers already sent by (output started at /var/www/vhosts/ds-media-design.de/httpdocs/typo3conf/ext/danp_extendnews/pi1/class.tx_danpextendnews_pi1.php:86) in /var/www/vhosts/ds-media-design.de/httpdocs/typo3/sysext/cms/tslib/class.tslib_fe.php on line 2907
Webagentur Webdesign Designagentur Typo3 Magento Drupal Ingolstadt :
DESIGNAGENTUR : WEBAGENTUR : CONSULTING : INGOLSTADT
  HOME   WEBLOG   LEXIKON   HOSTING   KONTAKT   IMPRESSUM   SITEMAP
 
ReferenzenAngeboteDesignInternet3D u. 4DPhilosophieServicePartner

Ihr Flash-Plugin ist veraltet !! Um diese Seite korrekt anzuzeigen, muss ein aktuelleres Flash-Plugin auf Ihrem Rechner installiert werden.


Hier bitte das Flash Plugin herunterladen und installieren

FLASH PLUGIN HERUNTERLADEN
(automatisch neueste Version)



 Übersicht
 Suche
 3D + 4D
 Flash
 Photoshop
 SEO - Ranking
 Typo3
 Diverse
 Archiv
13.02.09 10:34 Alter: 1 yrs

Typo3-Lücke / Bug: Hash-Cracking

Dieser bug betrifft alle Typo3-Versionen unterhalb von 4.2.6. Hier geht es um Hash-Cracking. Ist ein Angreifer einmal an den Hash des Admin-Passwortes gelangt, kann er die Inhalte der Website beliebig manipulieren.

Typo3 Bug

Von: DS Media Design

Der Betreiber der Website hashcrack.com verzeichnet seit gestern einen "Boom" bei der Nutzung des Online-Dienstes zum Knacken von MD5-Hashes. Die Zugriffszahlen hätten sich innerhalb von zwei Tagen rund verzehnfacht.

Um die Sicherheitslücke in Typo3 auszunutzen, muss ein Angreifer das zu einem MD5-Hash gehörige Passwort herausbekommen. Ist ein Angreifer einmal an den Hash des Admin-Passwortes gelangt, kann er die Inhalte der Website beliebig manipulieren. Auf diese Weise veränderten Unbekannte beispielsweise die Internetpräsenz von Innenminister Wolfgang Schäuble und des Fußballvereins FC Schalke 04.

Da die Typo3-Hashes kein sogenanntes Salz enthalten – einen Zufallsanteil, der gewisse Knackmethoden vereitelt – lassen sich die Passwörter mit Hilfe von Regenbogentabellen und Hashdatenbanken wie hashcrack.com innerhalb weniger Minuten bis Tage berechnen. Regenbogentabellen erreichen je nach Zeichenvorrat und Länge der anvisierten Passwörter sowie der gewünschten Erfolgsquote eine Größe von mehreren hundert Gigabyte. Ihre Berechnung benötigt teils Monate auf spezieller Hardware, doch einmal erstellt lassen sie sich für alle ungesalzenen Hashes verwenden.

Typo3,org bietet ein System-Update und einen Bugfix an:

Update auf Version 2.4.6:
http://typo3.org/download/packages/

Bugfix:
http://typo3.org/teams/security/security-bulletins/typo3-sa-2009-002/

Wichtig:

Danach bitte unbedingt in das Install-Tool gehen und dort einen neuen Encryption-Key generieren lassen!

<- Zurück zu: Übersicht

Keine Einträge

Keine Einträge im Weblog gefunden.

Kommentar schreiben...

Ins Weblog eintragen
CAPTCHA Bild zum Spamschutz 
designagentur
Browser-Statistiken
Artikel