Schlagwort-Archive: Typo3

Sicherheitslücke in Typo3

typo3-logoTypo3, das Content Management System schlecht hin, lässt wieder mal von sich hören. Eine vor kurzem bekannt gewordene Schwachstelle ermöglicht den Zugriff auf beliebige Daten auf dem Server. Darunter befindet sich auch etwa die Datei localconf.php, in der das (gehashte) Passwort für das Install-Tool sowie Nutzername und Passwort für die Datenbank eingetragen sind. Ursache des Problems ist nach Angaben der Typo3-Entwickler ein Fehler in der jumpUrl-Funktion zum Analysieren der Webzugriffe. Diese offenbart einen geheimen Hash, der Zugriff auf beliebige Dateien eigentlich verhindern soll.


Betroffen sind die Versionen 3.3.x, 3.5.x, 3.6.x, 3.7.x, 3.8.x, 4.0 bis 4.0.11, 4.1.0 bis 4.1.9, 4.2.0 bis 4.2.5, sowie 4.3alpha.

Die Updates auf 4.0.12, 4.1.10 oder 4.2.6 schließen die Lücke. Zusätzlich beseitigen die neuen Versionen auch eine Cross-Site-Scripting-Schwachstelle.

Alternativ soll ein Shellskript der Entwickler die nötigen Änderungen zur Absicherung vornehmen können, ohne gleich ein komplettes Update installieren zu müssen. Weitere Vorschläge sind im Original-Fehlerbericht von Typo3 zu finden.