Lücke in Typo3 ermöglicht Zugriff auf beliebige Dateien

Eine Schwachstelle im populären Content-Management-System Typo3 ermöglicht den Zugriff auf beliebige Dateien auf dem Server – darunter auch etwa die Datei localconf.php, in der das (gehashte) Passwort für das Install-Tool sowie Nutzername und Passwort für die Datenbank eingetragen sind. Ursache des Problems ist nach Angaben der Typo3-Entwickler ein Fehler in der jumpUrl-Funktion zum Analysieren der Webzugriffe. Diese offenbart einen geheimen Hash, der Zugriff auf beliebige Dateien eigentlich verhindern soll.

[ad#posting]

Betroffen sind die Versionen 3.3.x, 3.5.x, 3.6.x, 3.7.x, 3.8.x, 4.0 bis 4.0.11, 4.1.0 bis 4.1.9, 4.2.0 bis 4.2.5, sowie 4.3alpha. Die Updates auf 4.0.12, 4.1.10 oder 4.2.6 schließen die Lücke. Zusätzlich beseitigen die neuen Versionen auch eine Cross-Site-Scripting-Schwachstelle.

[ad#posting]

Alternativ soll ein Shellskript der Entwickler die nötigen Änderungen zur Absicherung vornehmen können, ohne gleich ein komplettes Update installieren zu müssen. Weitere Vorschläge sind im Original-Fehlerbericht von Typo3 zu finden.

Quelle: heise.de

[ad#posting]

Eure Meinung zu dem Artikel ist gefragt! Schreibt mir ein Kommentar

Hat Euch der Artikel weitergeholfen oder gefallen?
Ich freue mich auf einen Blick auf meine Amazon-Wunschliste. Vielen Dank!

Hat Euch der Artikel geholfen oder gefallen?
Ich freue mich auf einen Blick auf meine Amazon-Wunschliste.
Vielen Dank!


Ich bin TYPO3 Freelancer, TYPO3-Entwickler, Web-Entwickler und Frontend-Entwickler. Ich arbeite im und für das Web seit 2004.
Mehr Infos zu der TYPO3 Internet-Agentur INGENIUMDESIGN.

Besucht auch unser TYPO3 Hilfe Forum.

Leave a Reply

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.

Ein Kommentar

  1. Pingback: Cross Site Scripting » Blog Archive » LüCke in Typo3 ErmöGlicht Zugriff Auf Beliebige Dateien

Next ArticleTYPO3 Sicherheits-Release Update 4.2.6, 4.1.10 und 4.0.12