Update schliesst kritische Sicherheitslücke in Typo3

Durch ein Schlupfloch in Typo3 4.3 können Angreifer beliebigen PHP-Code einschleusen und ausführen. Die Typo3-Entwickler haben ein Sicherheitsupdate veröffentlicht, das eine gefährliche Schwachstelle im CMS schliesst. Der Typo3-Autoloader ist anfällig für einen Remote-Command-Execution-Angriff, bei dem PHP-Code von einem entfernten Rechner ausgeführt werden kann.

Betroffen sind die Typo3-Versionen 4.3.0, 4.3.1 und 4.3.2 sowie die Entwicklungsversionen dieser Releases und des noch in Arbeit befindlichen 4.4-Zweigs. Für das Schliessen der Lücke steht bereits ein Patch zur Verfügung. Alternativ können Typo3-Anwender auch über die PHP-Konfiguration für Abhilfe sorgen, indem sie entweder register_globals, allow_url_include oder allow_url_fopen auf off schalten. Ebenfalls möglich ist das Setzen einer mod_security-Regel: SecRule ARGS:error "^(https?|ftp)" "deny". In Typo3 4.3.3 ist die Sicherheitslücke bereits geschlossen. (ph/phpj) Typo3