Sicherheitsleck in neuer Typo3-Version

Sicherheitslecks in neuen Typo3-Versionen geschlossen!

CMS Software: Typo3

Laut verschiedenen Meldungen gab es in den aktuellen 3er und 4er Versionen von Typo3 ernst zu nehmende Schwachstellen. So können von Hackern z.B. unbemerkt HTML-Scripte eingefügt werden. Diese Scripte fangen allerdings erst an zu arbeiten, wenn sich der tatsächliche Typo3-User über seinen Internetbrowser einloggt.

Die zweite Sicherheitslücke betrifft vorallem User, die Ihr Typo3 CMS (Content Management System) auf einem Apache Server laufen lassen. Hier besteht für Angreifer die Möglichkeit gefährliche php-Scripte hoch zu laden und aus zu führen. Zwar ist das Open Source System mit einer Funktion ausgestattet, die die einzelnen Dateien nach dem Upload durchchecken und damit alle php-Scripte ablehnen soll. Doch genau dort liegt der Fehler.

Der Trick liegt darin, als erstes im System des Apache-Servers die mod_mime-Funktion einzuschalten. Nun kann der Angreifer seine manipulierten Dateien ohne Probleme hochladen und ausführen, wenn der Dateiname mehrere Suffixe (z.B. .txt.php.doc) beinhaltet.

In den Versionen 4.0.9, 4.1.7 und 4.2.1 wurden die Fehler bereits behoben. Wenn möglich raten wir Usern von Typo3 3er Versionen dazu, auf eine der sicheren 4er Versionen umzusteigen, da es für Typo3 3.x keine Security-Updates mehr gibt.