Gefährliches Sicherheitsloch in Typo3 entdeckt

Das beliebte Content-Management-System Typo3 weist eine kritische Sicherheitslücke auf. Anwendern der Open-Source-Lösung wird dringend empfohlen, ein Upgrade auf Version 4.3.3 durchzuführen.

Eine Schwachstelle in den Versionen 4,3.0 sowie 4.3.1 und 4.3.2 von Typo3 ermöglicht es Angreifern, eigenen PHP-Code auf einem Typo3-System einzuschleusen und dort auszuführen (Remote Code Execution). Details zur Lücke sind im Security-Bulletin TYPO3-SA-2010-008 beschrieben. Die Entwickler des Content-Management-Systems stufen das Loch als »kritisch« ein.

Neben den oben angeführten Ausgaben der Software weist auch die Entwicklungsplattform von Typo3 4.4 den Fehler auf. Um die Lücke zu schließen, haben Systemverwalter mehrere Möglichkeiten.

Eine besteht darin, auf Version 4.3.3. umzustellen. Das haben bereits mehrere Anwender gemacht, wie aus Postings in diversen Weblogs hervorgeht, darunter Firmen und öffentliche Einrichtungen (Universitäten), die das CMS einsetzen.

Nicht verwundbar sind zudem Installationen, bei denen zumindest einer der drei folgenden PHP-Konfigurationsvariablen auf »off« gesetzt ist:

• register_globals
• allow_url_include
• allow_url_fopen

Zudem hat Typo3 einen Patch für die Version 4.3.X bereitgestellt. Er kann über folgenden Link heruntergeladen werden. Als weitere Option bietet Typo3 an, die angreifbaren Dateien zu ersetzen. Auf der Internet-Seite mit dem Sicherheitsbulletin steht ein ZIP-File mit den »sicheren« Ersatzdateien zur Verfügung, die auf den Server aufgespielt werden müssen.

Und schließlich haben Systemverwalter noch die Möglichkeit, eine »mod_security rule« aufzusetzen:

SecRule ARGS:error "^(https?|ftp)" "deny"

Typo3 wurde nach Angaben des Anbieters bis Ende vergangenen Jahres mehr als 4,1 Millionen Mal heruntergeladen. Eine Stärke des CMS ist die Vielzahl von Erweiterungen (Extensions). Derzeit sind mehr als 3000 dieser Extensions verfügbar, mit deren Hilfe Nutzer das CMS an ihre speziellen Anforderungen anpassen können.