21.12.2011
Sicherheit
Gefährliche Lücke in Typo3
Autor: Thorsten Eggeling
Das Typo3-Entwicklerteam hat einen Patch für das Content-Management-System veröffentlicht. Es schließt damit eine als kritisch eingestufte Sicherheitslücke, die es Angreifern ermöglicht, Server zu kompromittieren.
Im quelloffenen CMS Typo 3 wird der Parameter BACK_PATH im Script AbstractController.php nicht ausreichend geprüft. Unbefugte können die Schwachstelle ausnutzen, um eigene PHP-Skripte hochzuladen und auszuführen. Die Entwickler wurden bereits über die Gefahr sogenannter Remote File Inclusion-Angriffe informiert. Auch soll es bereits zu zahlreichen Versuchen gekommen sein, die Lücke zu missbrauchen, um die Kontrolle über fremde Server zu übernehmen.
Betroffen sind die Typo3-Versionen 4.5.0 bis 4.5.8. Die Versionen 4.6.0 und 4.6.1 sind ebenfalls betroffen, allerdings nur dann, wenn in der PHP-Konfiguration register_globals, allow_url_include und allow_url_fopen aktiviert sind. Standardmäßig ist nur allow_url_fopen aktiviert. Wenn wenigstens eine dieser Optionen deaktiviert ist, soll keine Gefahr bestehen.
Entdeckt wurde die Sicherheitslücke in der verbreiteten CMS-Software von Björn Pedersen und Christian Toffolo. Inzwischen hat das Sicherheitsteam um Helmut Hummel einen Patch bereitgestellt und die bereinigten Versionen 4.5.10 und 4.6.3 veröffentlicht.
Erst vor Kurzen hat die TYPO3-Community einen neuen Sicherheitsleitfaden für den Betrieb von Webseiten mit dem freien Content-Management-System vorgestellt. Darin sind neben den allgemeinen Angaben zum TYPO3-Lebenszyklus, Updates und Schwachstellenbehebungen auch verschiedene Klassen von Bedrohungen beschrieben.
Sicherheits-Tipps
Mail-Account gehackt? Was kann ich tun?
E-Mail-Konten sind tagtäglich eine Zielscheibe von Hackerangriffen. Erst einmal geknackt, kann ein Krimineller mit Ihrem E-Mail-Konto viel Schaden anrichten. Wir verraten Ihnen, was Sie in diesem Fall unternehmen können.
>>
FTTH
Easybell vermarktet jetzt auch Glasfaseranschlüsse
Die Berliner Easybell vermarktet jetzt auch Glasfaseranschlüsse für Privat- und Geschäftskunden. Die FTTH-Anschlüsse kommen dabei von der Telekom.
>>
Auf der Anga Com
AVM zeigt mit der FritzBox 5690 Pro sein neues Top-Modell
Der Berliner Hersteller AVM nutzt die Breitbandmesse Anga Com, um einige neue FritzBox-Modelle vorzustellen. Darunter sein neues Flaggschiff 5690 für den Glasfaser- und DSL-Anschluss. Es soll im Sommer auf den Markt kommen.
>>
Open Access
Plusnet und Deutsche Giganetz kooperieren
Die Deutsche Giganetz GmbH schließt sich der Open Access Plattform von Plusnet an. Durch die Kooperation kann Plusnet auf 500.000 Glasfaseranschlüsse in elf Bundesländern zugreifen.
>>