Hintergründe des Typo3-Hacks weiter im Dunkeln
Die Typo3 Association hat keine Informationen zu der Schwachstelle hinter dem Casino-Spam-Hack, der viele Typo3-Webseiten betrifft, und vermutet, dass der Hack andere Ursachen hat. Seiten ohne Typo-Installation sollen ebenfalls betroffen sein.
- Fabian A. Scherschel
Im Fall der gehackten Typo3-Webseiten, die zur Anzeige von Online-Casino-Spam missbraucht wurden, gibt es nach wie vor keine Informationen über die zugrunde liegende Sicherheitslücke. Die gemeinnützige Typo3 Association, welche die Entwicklung des Content Management Systems (CMS) koordiniert, empfiehlt nun, auf eine aktuelle Version der Software zu wechseln. Eine Google-Suche nach den charakteristischen Merkmalen des Hacks fördert vorwiegend Seiten mit der Typo3-Long-Term-Support-Version 4.5.x zu Tage.
Es sind natürlich auch andere Ursachen für die gehackten Webseiten denkbar als eine Schwachstelle in Typo3-Installationen. Die Häufung dieser Seiten könnte auch auf andere Faktoren zurückzuführen sein. Momentan liegen die Hintergründe für den Hack komplett im Dunkeln.
Gegenüber heise Security bezweifelten die Typo-Entwickler, dass eine Lücke in ihrem CMS für die Angriffe verantwortlich sei. Eine Google-Suche nach den Opfern des Hacks bringe auch Seiten zu Tage, die Typo3 gar nicht einsetzen. Andere der betroffenen Webseiten verwenden laut der Typo3 Association veraltete Versionen der CMS-Software, die nicht mehr mit Sicherheitsupdates versorgt werden. Die Organisation empfehle Nutzern, auf die aktuellste Version der Software zu wechseln und die Sicherheitsmeldungen der Entwickler zu abonnieren. (fab)
