Sicherheits-Update schließt kritische Lücke in Typo3
Das Update beseitigt neben Cross-Site-Scripting-Fehlern und schwacher Verschlüsselung auch die Möglichkeit für einen Angreifer, eigene Befehle an die Shell des Systems zu übergeben und zu starten.
- Daniel Bachfeld
Die Entwickler des Content-Management-Systems Typo3 weisen auf mehrere Schwachstellen in den Versionen 4.0.0 bis 4.0.9, 4.1.0 bis 4.1.7 und 4.2.0 bis 4.2.3 hin. Dazu gehört neben Cross-Site-Scripting-Fehlern und schwacher Verschlüsselung auch die Möglichkeit für einen Angreifer, eigene Befehle an die Shell des Systems zu übergeben und zu starten. Ursache des Problems ist die fehlerhafte Verarbeitung übergebener Parameter in der "Indexed Search Engine"-Erweiterung.
In den Versionen 4.0.10, 4.1.8 und 4.2.4 sind die Fehler behoben. Die Entwickler haben die in ihrem Security Bulletin aufgeführten Lücken insgesamt mit "kritisch" bewertet. Anwender sollten die Updates so schnell wie möglich installieren. Allerdings gibt es mit den letzten Releases der Versionen 4.1.8 und 4.0.10 ein Problem mit PHP 4. Sie enthalten aus Versehen Public-static-Deklarationen der Funktion generateRandomBytes in t3lib/class.t3lib_div.php, die PHP 4 nicht unterstützt. Überarbeitete Versionen sollen aber demnächst erscheinen.
Siehe dazu auch:
- Multiple vulnerabilities in TYPO3 Core, Bericht von Typo3
(dab)