Typo3 - Remote Command Execution via PHP möglich
In noch nicht abgedichteten Installationen von Typo3 kann ein Angreifer PHP-Code von einem externen Server laden und ausführen.
- Detlef Grell
Die Entwickler des CMS-Framework Typo3 schlagen in einem Mailing an typo3-announce@lists.typo3.org Alarm; auch der Sicherheitsdienstleister Secunia stuft das Problem als "highly critical" ein. In den Typo3-Versionen 4.3.0, 4.3.1 und 4.3.2 (ebenso in bisherigen Entwicklerversionen des 4.4-Zweigs) kann ein Angreifer PHP-Code von einem externen Server einschleusen und innerhalb von Typo3 ausführen.
Das Advisory SA-2010-008 beschreibt detailliert, wie sich Abhilfe schaffen lässt. Zum einen löst ein Upgrade auf Version 4.3.3 das Problem. Es gibt überdies drei PHP-Schalter, von denen mindestens einer auf "off" stehen muss, damit die Lücke nicht ausgenutzt werden kann:
- register_globals
- allow_url_include
- allow_url_fopen
Die Chancen stehen gut, dass einer davon bereits standardmäßig abgeschaltet ist und es ist eine gute Idee, alle abzuschalten. Aber erstens gibt das in manchen Fällen Kompatibiltätsprobleme und zweitens hat man als Kunde eines Web-Hosters unter Umständen nur sehr eingeschränkte Möglichkeiten, die PHP-Einstellungen selbst zu verändern.
Wer ein Typo3-System administriert, sollte jedenfalls jetzt sofort nachsehen, ob er betroffen ist, und dann die nötigen Maßnahmen ergreifen. Wer dazu schnell nachschauen will, wie die PHP-Variablen gesetzt sind, legt einfach eine Datei test.php an
<?
phpinfo();
?>
und ruft die im Browser dann auf. Danach löschen Sie diese Datei wieder, weil sie sonst einem potenziellen Angreifer viele Informationen preis gibt.
Siehe dazu auch
- Grundsicherung für PHP-Software, Hintergrundartikel von heise Security
(gr)