XSS-Leck in Typo3

SicherheitSicherheitsmanagement

Im CMS findet sich ein kritisches Leck, über das ein Angreifer auf beliebige Dateien auf dem Server zugreifen kann und so etwa an Konfigurationsdateien und Passwörter gelangt.

Typo3 steht ab sofort in den Versionen 4.0.12, 4.1.10 und 4.2.6 zum Download bereit. Darin haben die Entwickler ein kritisches Sicherheitsleck im junmpURL-Mechanismus behoben, das sich für Cross-Site-Scriptings missbrauchen lässt und dazu führen kann, das ein Angreifer auf alle Dateien des Servers zugreifen kann.

Wer nicht die neuen Versionen einspielen will, kann das Leck auch per Shell-Skript abdichten oder die betroffene class.tslib_fe.php von Hand ändern. (Daniel Dubsky)

((Update))
Es wird bereits versucht, das Leck in Typo3 auszunutzen. Prominentestes Opfer ist Wolfgang Schäuble – die Website des Bundesinnenministers wurde gehackt.