Kritische Lücke in TYPO3

Betroffene Versionen: 4.5.0 bis 4.5.8, 4.6.0 und 4.6.1 (+ Dev. Releases der 4.7 Branch).

Voraussetzung:
1) register_globals, allow_url_include und allow_url_fopen müssen aktiviert sein
2) Die Suhosin PHP extension ist aktiviert und URL-Schemen in der Konfigurationsvariable suhosin.executor.include.whitelist gesetzt wurden

Lösungsvorschläge:

  • Update auf die TYPO3 Version 4.5.9 oder 4.6.2
  • Mindestens eine PHP Variable auf „off“ setzen: register_globals, allow_url_include and allow_url_fopen
  • Patch runterladen und installieren (Informationen)
    Patch runterladen
  • mod_security Regel setzen: SecRule ARGS:BACK_PATH „^(https?|ftp)“ „deny“


https://typo3.org/teams/security/security-bulletins/typo3-core/typo3-core-sa-2011-004/

TYPO3 veröffentlicht überarbeitete Security Guideline

TYPO3 ist nicht nur für seinen Funktionsumfang bekannt, sondern auch dafür, dass immer wieder hoffnungslos veraltete Systeme gehackt werden.. nun soll eine neu überarbeitete Guideline Abhilfe schaffen.

Das Dokument unterscheidet die verschiedenen Rollen der Nutzer und gliedert sich dementsprechend in Anweisungen für den System Administratoren, den TYPO3 Integratoren und den Editoren.

Eine allgemein gültige Regel ist: nicht benutzte Extensions zu deinstallieren und die Anwendung stets up-to-date zu halten, insbesondere nach (kritischen) Sicherheitsupdates.

Alles zu TYPO3 finden Sie hier.
Link zum TYPO3 Security Guide