|  |
Typo3 - Kritische Schwachstelle erlaubt Zugriff auf Dateien
Das Team rund um das häufig verwendete Content-Management-System Typo3 hat eine brisante Sicherheitswarnung herausgegeben.
Die Schwachstelle im Typo3-Kern wird als kritisch eingestuft. Allen Anwendern sei die Installation des Updates dringend empfohlen, heißt es in der Mitteilung auf der offiziellen Webseite. Durch die bestehende Schwachstelle könnte ein Angreifer unter bestimmten Umständen wahlfrei Dateien auslesen. Diese Informationen und einige Tipps sind dem Security Bulletin zu entnehmen (http://typo3.org/teams/security/security-bulletins/typo3-sa-2009-002/).
Die Folgen durch das Ausnutzen der Schwachstelle könnten für den jeweiligen Betreiber weit reichend sein. Grund dafür ist unter anderem der mögliche Zugriff auf die Datei localconf.php. In dieser befindet sich das Passwort für das Installations-Setup sowie der Benutzername und das zugehörige Kennwort für die Datenbank. Nach eingehender Betrachtung konnten die Experten den Fehler ausfindig machen. Dieser soll im Zusammenhang mit der jumpUrl-Funktion zum Analysieren der Webzugriffe bestehen.
Laut den offiziellen Angaben sind die Versionen 3.3.x, 3.5.x, 3.6.x, 3.7.x, 3.8.x, 4.0 bis 4.0.11, 4.1.0 bis 4.1.9, 4.2.0 bis 4.2.5 und die Alphaversion 4.3 von dieser Problematik betroffen. Ein zur Verfügung gestelltes Update auf die Versionen 4.0.12, 4.1.10 und 4.2.6 soll diesem Sachverhalt Abhilfe schaffen. Neben der bereits geschilderten kritischen Lücke konnten die Entwickler auch eine Cross-Site-Scripting Schwachstelle ausmerzen. Das Update oder ein alternatives Shellscript kann von der Typo3-Webseite bezogen werden.
Weitere Informationen auch unter www.gulli.com 11.02.2009, Lars Sobiraj, Inqnet GmbH
Kommentare zu dieser News | | |
 | Typo3 - Kritische Schwachstelle erlaubt ... | | | |
| News | 11.02.09 | | Björn | 12.02.09 |
Weitere aktuelle Meldungen | | |
Meldungen aus anderen Themenbereichen | | |
| | | |
