Typo3 lässt sich Systemkommandos unterschieben
Durch einen Fehler in einer zentralen Komponente können Angreifer dem Content Management System beliebige Systembefehle unterschieben.
Die Entwickler des quelloffenen Content-Management-Systems Typo3 warnen vor einer schweren Sicherheitslücke, mit der Angreifer dem System beliebige Kommandos unterschieben können. Ursache des Problems ist die fehlende Filterung von übergebenen Nutzerparametern in der Erweiterung rtehtmlarea, die ab Typo3 4.0 standardmäßig enthalten ist. Auf Systemen vor Version 4.0 kann das Modul optional installiert sein.
Das Modul nutzt zum Syntaxcheck das Systemtool aspell und ruft es über System Calls auf. Durch präparierte Parameter kann ein Angreifer damit eigene Befehle an den Server übergeben und ausführen. Eine Authentifizierung ist dazu nach Angaben des Entdeckers der Lücke, die Firma SEC Consult, nicht notwendig. Damit der Angriff funktioniert, muss allerdings die PHP-Sicherheitsoption safe_mode deaktiviert sein. Näheres erklärt das Security Bulletin auf der Typo3-Homepage. Betroffen sind die aktuelle Version 4.0, Typo3 4.1 beta 1 sowie die älteren Releases 3.7.x und 3.8.x. Auf dem Typo3-Server stehen Fixes für alle Typo3-Versionen bereit.
Das Typo3-Team hat bislang keinen Hinweis darauf, dass das Problem von einem Angreifer erkannt oder gar ausgenutzt wurde. Aufgrund der Schwere des Fehlers raten sie aber dringend dazu, Installationen schnell zu aktualisieren.
Siehe dazu auch:
- Remote Command Execution in Typo3, Fehlerbericht von SEC Consult
- Remote Command Execution in TYPO3, Fehlerbericht von von Typo3
(jo)
