News-Meldung vom 10.02.2009 16:14
Eine Schwachstelle im populären Content-Management-System Typo3 ermöglicht den Zugriff auf beliebige Dateien auf dem Server – darunter auch etwa die Datei localconf.php, in der das (gehashte) Passwort für das Install-Tool sowie Nutzername und Passwort für die Datenbank eingetragen sind. Ursache des Problems ist nach Angaben der Typo3-Entwickler ein Fehler in der jumpUrl-Funktion zum Analysieren der Webzugriffe. Diese offenbart einen geheimen Hash, der Zugriff auf beliebige Dateien eigentlich verhindern soll.
Betroffen sind die Versionen 3.3.x, 3.5.x, 3.6.x, 3.7.x, 3.8.x, 4.0 bis 4.0.11, 4.1.0 bis 4.1.9, 4.2.0 bis 4.2.5, sowie 4.3alpha. Die Updates auf 4.0.12, 4.1.10 oder 4.2.6 schließen die Lücke. Zusätzlich beseitigen die neuen Versionen auch eine Cross-Site-Scripting-Schwachstelle.
Alternativ soll ein Shellskript der Entwickler die nötigen Änderungen zur Absicherung vornehmen können, ohne gleich ein komplettes Update installieren zu müssen. Weitere Vorschläge sind im Original-Fehlerbericht von Typo3 zu finden.
Siehe dazu auch:
(Daniel Bachfeld)
/
(dab)
English Version: Typo3 hole allows access to arbitrary files
Version zum Drucken | Per E-Mail versenden
Permalink: http://heise.de/-194210
Themen-Forum Serversicherheit
Mehr zum Thema Typo3 Sicherheitslücke XSS
Dank der redaktionseigenen Glaskugel präsentiert heise Security schon jetzt und wie immer exklusiv den ultimativen Jahresrückblick auf das vor uns liegende Jahr 2012. 
Wer veraltete Programmversionen von Firefox, Thunderbird und SeaMonkey nutzt, kann sein System leicht mit Schadcode infizieren. 
