Gefährliche Lücke in Typo3

Im quelloffenen CMS Typo 3 wird der Parameter BACK_PATH im Script AbstractController.php nicht ausreichend geprüft. Unbefugte können die Schwachstelle ausnutzen, um eigene PHP-Skripte hochzuladen und auszuführen. Die Entwickler wurden bereits über die Gefahr sogenannter Remote File Inclusion-Angriffe informiert. Auch soll es bereits zu zahlreichen Versuchen gekommen sein, die Lücke zu missbrauchen, um die Kontrolle über fremde Server zu übernehmen.

Betroffen sind die Typo3-Versionen 4.5.0 bis 4.5.8. Die Versionen 4.6.0 und 4.6.1 sind ebenfalls betroffen, allerdings nur dann, wenn in der PHP-Konfiguration register_globals, allow_url_include und allow_url_fopen aktiviert sind. Standardmäßig ist nur allow_url_fopen aktiviert. Wenn wenigstens eine dieser Optionen deaktiviert ist, soll keine Gefahr bestehen.

Entdeckt wurde die Sicherheitslücke in der verbreiteten CMS-Software von Björn Pedersen und Christian Toffolo. Inzwischen hat das Sicherheitsteam um Helmut Hummel einen Patch bereitgestellt und die bereinigten Versionen 4.5.10 und 4.6.3 veröffentlicht.

Erst vor Kurzen hat die TYPO3-Community einen neuen Sicherheitsleitfaden für den Betrieb von Webseiten mit dem freien Content-Management-System vorgestellt. Darin sind neben den allgemeinen Angaben zum TYPO3-Lebenszyklus, Updates und Schwachstellenbehebungen auch verschiedene Klassen von Bedrohungen beschrieben.