Typo3 - Remote Command Execution via PHP möglich

In noch nicht abgedichteten Installationen von Typo3 kann ein Angreifer PHP-Code von einem externen Server laden und ausführen.

In Pocket speichern vorlesen Druckansicht 150 Kommentare lesen
Lesezeit: 2 Min.
Von
  • Detlef Grell

Die Entwickler des CMS-Framework Typo3 schlagen in einem Mailing an typo3-announce@lists.typo3.org Alarm; auch der Sicherheitsdienstleister Secunia stuft das Problem als "highly critical" ein. In den Typo3-Versionen 4.3.0, 4.3.1 und 4.3.2 (ebenso in bisherigen Entwicklerversionen des 4.4-Zweigs) kann ein Angreifer PHP-Code von einem externen Server einschleusen und innerhalb von Typo3 ausführen.

Das Advisory SA-2010-008 beschreibt detailliert, wie sich Abhilfe schaffen lässt. Zum einen löst ein Upgrade auf Version 4.3.3 das Problem. Es gibt überdies drei PHP-Schalter, von denen mindestens einer auf "off" stehen muss, damit die Lücke nicht ausgenutzt werden kann:

  • register_globals
  • allow_url_include
  • allow_url_fopen

Die Chancen stehen gut, dass einer davon bereits standardmäßig abgeschaltet ist und es ist eine gute Idee, alle abzuschalten. Aber erstens gibt das in manchen Fällen Kompatibiltätsprobleme und zweitens hat man als Kunde eines Web-Hosters unter Umständen nur sehr eingeschränkte Möglichkeiten, die PHP-Einstellungen selbst zu verändern.

Wer ein Typo3-System administriert, sollte jedenfalls jetzt sofort nachsehen, ob er betroffen ist, und dann die nötigen Maßnahmen ergreifen. Wer dazu schnell nachschauen will, wie die PHP-Variablen gesetzt sind, legt einfach eine Datei test.php an

<?
phpinfo();
?>

und ruft die im Browser dann auf. Danach löschen Sie diese Datei wieder, weil sie sonst einem potenziellen Angreifer viele Informationen preis gibt.

Siehe dazu auch

(gr)