Patchen bitte!

Kritische Sicherheitslücke in Typo3

Thomas Cloer
Thomas Cloer ist verantwortlich für die Nachrichten auf computerwoche.de.
Er sorgt außerdem ziemlich rund um die Uhr bei Twitter dafür, dass niemand Weltbewegendes verpasst, treibt sich auch sonst im Social Web herum (auch wieder bei Facebook) und bloggt auf teezeh.de. Apple-affin, bei Smartphones polymorph-pervers.
Email:
Connect:
Die Entwickler des quelloffenen Content-Management-System Typo3 warnen vor einer kritischen Sicherheitslücke, die es entfernten Angreifern erlaubt, mittels präparierter Anfragen beliebige PHP-Dateien einzubinden und somit beliebige Befehle zur Ausführung zu bringen

Offenbar wird diese Lücke auch bereits ausgenutzt, wie Jörg Kantel in seinem Blog "Der Schockwellenreiter" berichtet. Betroffen sind demnach die Versionen 4.5.0 bis 4.5.8 sowie 4.6.0 und 4.6.1, sofern die PHP-Einstellungen "register_globals", "allow_url_in­clude" und "allow_url_fopen" aktiviert sind. Inzwischen wurden eine Korrektur und die fehlerkorrigierten Versionen 4.5.9 und 4.6.2 bereitgestellt.

Newsletter 'CP Business-Tipps' bestellen!