Angreifer können durch eine kritische Lücke in dem quelloffenen Content-Management-System (CMS) Typo3 unter Umständen den Server kompromittieren, warnt das Entwicklerteam. Da von der Datei AbstractController.php der Parameter BACK_PATH nicht ausreichend überprüft wird, können Angreifer ihn zum Hochladen und Ausführen von eigenen PHP-Skripten nutzen. Darüber, dass Angreifer bereits im großen Maße versuchen, durch die Lücke in fremde Server einzusteigen, wurden die Entwickler informiert.

Die Typo3-Versionen 4.5.0 bis 4.5.8 sowie 4.6.0 und 4.6.1 sind allerdings nur verwundbar, wenn die PHP-Einstellungen register_globals, allow_url_include und allow_url_fopen eingeschaltet sind. Standardmäßig ist nur Letztere aktiv. Das Entwicklerteam hat einen Patch bereitgestellt und ausserdem die fehlerkorrigierten Versionen 4.5.9 und 4.6.2 veröffentlicht. Die im Advisory beschriebene mod_security-Regel kann man alternativ anlegen.

(ez, hannover)

(siehe auch Heise News-Ticker :)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE