Lücke in Typo3 ermöglicht Zugriff auf beliebige Dateien

Eine Schwachstelle im populären Content-Management-System Typo3 ermöglicht den Zugriff auf beliebige Dateien auf dem Server – darunter auch etwa die Datei localconf.php, in der das (gehashte) Passwort für das Install-Tool sowie Nutzername und Passwort für die Datenbank eingetragen sind. Ursache des Problems ist nach Angaben der Typo3-Entwickler ein Fehler in der jumpUrl-Funktion zum Analysieren der Webzugriffe. Diese offenbart einen geheimen Hash, der Zugriff auf beliebige Dateien eigentlich verhindern soll.

Betroffen sind die Versionen 3.3.x, 3.5.x, 3.6.x, 3.7.x, 3.8.x, 4.0 bis 4.0.11, 4.1.0 bis 4.1.9, 4.2.0 bis 4.2.5, sowie 4.3alpha. Die Updates auf 4.0.12, 4.1.10 oder 4.2.6 schließen die Lücke. Zusätzlich beseitigen die neuen Versionen auch eine Cross-Site-Scripting-Schwachstelle.

Alternativ soll ein Shellskript der Entwickler die nötigen Änderungen zur Absicherung vornehmen können, ohne gleich ein komplettes Update installieren zu müssen. Weitere Vorschläge sind im Original-Fehlerbericht von Typo3 zu finden.

Siehe dazu auch:

• Information Disclosure & XSS in TYPO3 Core, Bericht von Typo3

(Daniel Bachfeld) / (dab)