TYPO3
Übermittlung Ihrer Stimme...
 | 12.02.09 |
 | 3 yrs |  | 1190 mal gelesen |  | TYPO3 |  | 0 |
Sicherheitslücke in TYPO3
Im CMS TYPO3 findet sich eine kritische Sicherheitslücke, über das ein Angreifer auf beliebige Dateien auf dem Server zugreifen kann und so etwa an Konfigurationsdateien und Passwörter gelangt.
TYPO3 steht seit Dienstag in den Versionen 4.0.12, 4.1.10 und 4.2.6 zum Download bereit. Darin haben die Entwickler ein kritisches Sicherheitsleck im junmpURL-Mechanismus behoben, das sich für Cross-Site-Scriptings missbrauchen lässt und dazu führen kann, das ein Angreifer auf alle Dateien des Servers zugreifen kann.
Wer nicht unbedingt neue Versionen einspielen will, kann die Sicherheitslücke auch mit einem Patch, bzw. Script auf der Shell durchführen oder die betroffende Datei in "typo3/sysext/cms/tslib/class.tslib_fe.php" von Hand patchen.
es muss dazu die Zeile:
} else die('jumpurl Secure: Calculated juHash, '.$calcJuHash.', did not match the submitted juHash.');
Durch
"} else die('jumpurl Secure: Calculated juHash did not match the submitted juHash.');" ersetzt werden.
Für unsere Kunden haben wir bereits alle TYPO3-Versionen gepacht oder upgedatet.
Es wird bereits versucht die Sicherheitslücke auszunutzen. Hierzu gab es bereits prominente Seiten wie die von Wolfgang Schäuble oder auch die Website vom Schalke 04.
