TYPO3 – kritische Sicherheitslücke in Version 4.3.x
Das TYPO3 Security Team hat eine kritische Sicherheitslücke in den TYPO3
Versionen 4.3.0, 4.3.1 und 4.3.2 entdeckt. Ebenfalls betroffen sind die
Alpha-Versionen der Version 4.4 (frühere Versionen wie 4.2.x oder 4.1.x
sind nicht betroffen). Bitte lesen Sie die folgenden Informationen
aufmerksam durch.
Ob die Lücke von einem Angreifer ausgenutzt werden kann, hängt von der
jeweiligen PHP Konfiguration ab. Ein Sicherheitsrisiko besteht nur, wenn
die beiden Einstellungen:
register_globals
allow_url_fopen
gleichzeitig eingeschaltet sind („on“ bzw. „1“). In diesem Fall kann ein
Angreifer über eine entsprechend präparierte URL das System
kompromittieren.
Anleitung von Jweiland.net:
Auf den Servern von jweiland.net ist die Einstellung „register_globals“
standardmäßg ausgeschaltet, so dass für die meisten Installationen
keine Gefahr besteht. Für TYPO3 ist eine Aktivierung von register_globals
NICHT erforderlich, jedoch für einige andere (meist ältere) auf PHP
basierende Softwarepakete.
Die von uns voreingestellte PHP Konfiguration kann jedoch vom Anwender auf
zwei Arten verändert werden, in diesem Fall ist eine Überprüfung
erforderlich:
1. Über die Domain-Einstellungen im Kundenmenü, Reiter „Konfiguration“,
Auswahlliste „Globale PHP.INI Einstellungen nutzen“. Falls hier die
Auswahl auf „Nein (domainspezifisch)“ steht, muss überprüft werden, dass
die Checkbox bei „register_globals“ NICHT gesetzt ist. Diese Einstellung
sollte für jede Domain überprüft werden. Bitte beachten Sie, dass bei
Auswahl einer domainspezifischen Konfiguration die Option register_globals
zunächst aktiviert ist und dann vom Anwender explizit deaktiviert werden
muss. Bei Auswahl der „globalen php.ini Konfiguration“ ist
register_globals deaktiviert.
2. Über eine eigene php.ini Datei in einem Verzeichnis, in dem sich PHP
Skripte befinden. Eine eigene php.ini Datei setzt unsere globalen
Voreinstellungen ausser Kraft, daher muss – nur bei Verwendung einer
eigenen php.ini Datei – in dieser auch die Einstellung „register_globals =
off“ eingetragen werden. Eine php.ini Datei ist jeweils nur in dem
jeweiligen Verzeichnis wirksam. Die Prüfung sollte zumindest in den
Startverzeichnissen für die jeweilige Domain überprüft werden
(üblicherweise also /typo3cms/projekt1, /typo3cms/muster, etc.).
Über den folgenden Weg kann die aktuelle Konfiguration von PHP überprüft
werden:
1. Erstellen Sie im Startverzeichnis des jeweiligen TYPO3 Projekts eine
Datei test.php mit folgendem Inhalt:
2. Rufen Sie die Datei über einem Browser auf:
www.name-ihrer-domain.de/test.php
3. Im Browser erscheint eine Seite mit der aktuellen PHP Konfiguration.
Suchen Sie im Abschnitt „Configuration PHP Core“ nach der Zeile
„register_globals“ und prüfen, dass der Eintrag auf off/off steht. Falls
der Eintrag auf „off/on“ oder „on/on“ steht und Sie Fragen zur richtigen
Einstellung haben, rufen Sie uns bitte an.
4. Löschen Sie die Datei test.php anschließend, da ansonsten ein
Angreifer durch Aufruf der Seite Informationen über die Konfiguration
erhalten kann. Sie können auch einen anderen Dateinamen als „test.php“
verwenden, die Endung muss jedoch auf „.php“ lauten.
In der Nacht vom 9. auf den 10. April stellen wir auf allen Hosting Paketen
automatisch die neue TYPO3 Version 4.3.3 zur Verfügung. Eine Anleitung
zum Umstieg von den Versionen 4.3.x auf 4.3.3 finden Sie auf dieser Seite
(Link:
http://jweiland.net/index.php?RDCT=c7dda55716b84b90af17
).
Nochmals der Hinweis: falls Sie in den Domain-Einstellungen nicht explizit
eine domainspezifische php.ini Konfiguration gewählt oder eigene php.ini
Dateien erstellt haben, sind Sie von der Sicherheitslücke nicht
betroffen.
—————————————————————————-
HINWEIS ZU FRÜHEREN TYPO3 VERSIONEN
—————————————————————————-
Falls Sie eine ältere Version von TYPO3 einsetzen, sollten Sie prüfen, ob
Sie die jeweils aktuelle Version verwenden.
Für TYPO3 Version 4.2 ist dies die Version 4.2.12
Für TYPO3 Version 4.1 ist dies die Version 4.1.13
Auch bei diesen früheren Ausgaben von TYPO3 sollte die jeweils aktuelle
Version eingesetzt werden, da in älteren Versionen ebenfalls
Sicherheitslücken existieren.
Die verwendete TYPO3 Version können Sie ermitteln, in dem Sie sich als
Administrator in das TYPO3 Backend einloggen und dort den Menüpunkt
„Über TYPO3“ bzw. „About TYPO3“ aufrufen.
Für die Versionen 4.0 und früher gibt es keine Sicherheitsupdates und
Support mehr. Falls Sie noch eine solche Version einsetzen, wird ein
Update dringend empfohlen.
Mit Erscheinen der Version 4.4 (voraussichtlich Juni 2010) werden Support
und Sicherheitsupdates für die Version 4.1 ebenfalls eingestellt.
Hinweise zu den einzelnen Versionen finden Sie unter
http://jweiland.net/index.php?RDCT=7891e58cd5c3c2bae0df
Bei Rückfragen stehen wir Ihnen gerne zur Verfügung.
Supportanfragen per E-Mail bitte mit Angabe der Kundennummer an
hosting@jweiland.net
Ihr Hosting-Team von jweiland.net
Eure Meinung zu dem Artikel ist gefragt! Schreibt mir ein Kommentar
Ich freue mich auf einen Blick auf meine Amazon-Wunschliste. Vielen Dank!
Pingback: Tweets die TYPO3 - kritische Sicherheitslücke in Version 4.3.x erwähnt -- Topsy.com