Offenbar wird diese Lücke auch bereits ausgenutzt, wie Jörg Kantel in seinem Blog "Der Schockwellenreiter" berichtet. Betroffen sind demnach die Versionen 4.5.0 bis 4.5.8 sowie 4.6.0 und 4.6.1, sofern die PHP-Einstellungen "register_globals", "allow_url_include" und "allow_url_fopen" aktiviert sind. Inzwischen wurden eine Korrektur und die fehlerkorrigierten Versionen 4.5.9 und 4.6.2 bereitgestellt.
Patchen bitte!
Kritische Sicherheitslücke in Typo3
19.12.2011
Thomas Cloer war Redakteur der Computerwoche.
Alle Posts des Autors
Connect:
Die Entwickler des quelloffenen Content-Management-System Typo3 warnen vor einer kritischen Sicherheitslücke, die es entfernten Angreifern erlaubt, mittels präparierter Anfragen beliebige PHP-Dateien einzubinden und somit beliebige Befehle zur Ausführung zu bringen