Typo3 unter Beschuss: Angreifer können Kontrolle übernehmen

SicherheitSicherheitsmanagement

Die Entwickler von Typo3 warnen vor einer kritischen Sicherheitslücke: Angreifer können eigenen PHP-Code auf den Server laden und ausführen. Betroffen sind die Versionen 4.5.0 bis 4.5.8, 4.6.0 und 4.6.1 sowie die Entwicklerversion 4.7. Updates wurden bereits veröffentlicht.

Der Grund für das Leck: Die Datei AbstractController.php im Verzeichnis typo3/sysext/workspaces/Classes/Controller unterzieht den Parameter BACK_PATH keiner ausreichenden Kontrolle. Das macht eine so genannte Remote File Inclusion möglich.

Betroffenen Administratoren wird geraten entweder auf Version 4.5.9 oder 4.6.2 umzusteigen, mindestens eine der Variablen register_globals, allow_url_include und allow_url_fopen auszuschalten, den bereitgestellten Patch zu installieren oder eine entsprechende Regel in der mod_security-Firewall einzurichten. Details dazu und Download-Möglichkeiten gibt es auf typo3.org