Mit Typo 3 zum Server-Admin
Angemeldete Benutzer konnten unter Typo3 Konfigurationsdateien auslesen und Dateien kopieren, löschen und ausführen. Nachdem die Experten der SySS GmbH diese Fehler schon vor Monaten an die Entwickler gemeldet hatten, wurden die Probleme nun behoben.
- Fabian A. Scherschel
Laut Sicherheitsexperten der SySS GmbH enthält das freie Content Management System (CMS) Typo3 eine Reihe von Schwachstellen, die es angemeldeten Benutzern erlauben, die Überprüfung von Benutzerberechtigungen an vielen Stellen zu umgehen und auch beliebige PHP-Skripte auszuführen. SySS hatte die Lücken bereits im Mai an das Typo3-Sicherheitsteam gemeldet, woraufhin die Entwickler die Version 6.1.3 mit einigen Patches Ende Juli veröffentlichten. Die Sicherheitsexperten bemängelten allerdings sofort, dass diese Version bei weitem nicht alle Probleme behebt, woraufhin nun ein weiteres Update (6.1.4) veröffentlicht wurde.
Die Ausführung von PHP-Skripten wurde zwar schon mit dem ersten Update unterbunden, angemeldete Benutzer konnten aber weiterhin Dateien kopieren und löschen und in der Standard-Konfiguration des Programms konnten auch munter Konfigurations-Dateien ausgelesen werden. Beim direkten Aufruf der URL des Typo3-Dateimanagers ignorierte das System die nötigen Benutzerberechtigungen einfach, was beliebigen Benutzerkonten den Zugriff ermöglichte — auch wenn sie eigentlich keine Berechtigung dazu hatten. Vor dem Juli-Update war es auf diesem Wege sogar möglich, Textdateien mit PHP-Code zu befüllen, umzubenennen und dann auf dem Webserver auszuführen.
Auf den Hinweis der Experten von SySS vom Juli, die weiterhin existierenden Fehler auch noch zu beheben, haben die Typo-Entwickler nun reagiert. Admins sollten jetzt auf Version 6.1.4 updaten, da sie sonst Gefahr laufen, dass Benutzer auf ihrem CMS Dateien manipulieren oder gar beliebigen PHP-Code ausführen können.
Siehe dazu auch:
- Typo3 im heise Software-Verzeichnis
