Sicherheits-Update für Typo3

Läuft Typo3 auf einem Apache-Webserver, so soll es Angreifern laut Fehlerbericht möglich sein, eigenen PHP-Code auf den Server zu laden und auszuführen. Allerdings ist eine Anmeldung im Frontend oder Backend erforderlich.

In Pocket speichern vorlesen Druckansicht 77 Kommentare lesen
Lesezeit: 1 Min.
Von
  • Daniel Bachfeld

Die Entwickler des Content-Management-Systems Typo3 empfehlen Anwendern ein Update auf die Versionen 4.0.9, 4.1.7 oder 4.2.1, in denen zwei Schwachstellen beseitigt sind. Läuft Typo3 auf einem Apache-Webserver, so soll es Angreifern laut Fehlerbericht möglich sein, eigenen PHP-Code auf den Server zu laden und auszuführen. Schuld ist ein Fehler in der Funktion, die genau das verhindern soll: Typo3 prüft den hochgeladen Dateitypen und verhindert den Upload, wenn es sich um PHP-Skripte handelt.

Der Schutz lässt sich aber umgehen, wenn im Apache-Server das Modul mod_mime aktiviert ist und die Datei mehrere Endungen aufweist, von denen .php aber nicht die letzte angegebene ist. Ein ähnlicher Angriff funktioniert zudem mit präparierten .htaccess-Dateien. Die Entwickler stufen das Problem als kritisch ein.

Für einen erfolgreichen Angriff ist allerdings eine Authentifizierung im Backend oder Frontend von Typo3 erforderlich. Alternativ zum Update führt der Fehlerbericht einen Workaround auf, wie die Typo3-Konfiguration anzupassen ist. Darüber hinaus haben die Entwickler eine Cross-Site-Scripting-Lücke in der Datei rfe_adminlib.inc beseitigt, die unter anderem in den Extensions direct_mail_subscription, feuser_admin und kb_md5fepw zum Einsatz kommen. Systeme, auf denen diese Erweiterungen nicht laufen, sind nicht verwundbar.

Siehe dazu auch:

(dab)