Die Ent­wick­ler des CMS-Frame­work Typo3 schla­gen in einem Mai­ling an [email protected] Alarm. In den Typo3-Ver­sio­nen  4.3.0, 4.3.1 und 4.3.2 (eben­so in bis­he­ri­gen Ent­wick­ler­ver­sio­nen des 4.4‑Zweigs) kann ein Angrei­fer PHP-Code von einem exter­nen Ser­ver ein­schleu­sen und inner­halb von Typo3 aus­füh­ren.

Das Advi­so­ry SA-2010–008 (http://typo3.org/teams/security/security-bulletins/typo3-sa-2010–008/) beschreibt detail­liert, wie sich Abhil­fe schaf­fen lässt. Zum einen löst ein Upgrade auf Ver­si­on 4.3.3 das Pro­blem. Es gibt über­dies drei PHP-Schal­ter, von denen min­des­tens einer auf “off” ste­hen muss, damit die Lücke nicht aus­ge­nutzt wer­den kann:

• register_globals
• allow_url_include
• allow_url_fopen

Die Chan­cen ste­hen gut, dass einer davon bereits stan­dard­mä­ßig abge­schal­tet ist und es ist eine gute Idee, alle abzu­schal­ten. Aber ers­tens gibt das in man­chen Fäl­len Kom­pa­ti­bil­täts­pro­ble­me und zwei­tens hat man als Kun­de eines Web-Hos­ters unter Umstän­den nur sehr ein­ge­schränk­te Mög­lich­kei­ten, die PHP-Ein­stel­lun­gen selbst zu ver­än­dern.

Tags: Typo3

Dieser Eintrag wurde am 10. April 2010 um 22:27 von Öffentlichkeitsarbeit veröffentlicht und ist in der Kategorie CERT zu finden. Sie können die Kommentare durch den RSS 2.0 Feed verfolgen. Sowohl Kommentare, wie auch Pingbacks sind derzeit deaktiviert.