Die Entwickler des Content-Management-Systems Typo3 empfehlen Anwendern ein Update auf die Versionen 4.0.9, 4.1.7 oder 4.2.1, in denen zwei Schwachstellen beseitigt sind. Läuft TYPO3 auf einem Apache-Webserver, so soll es Angreifern laut Fehlerbericht möglich sein, eigenen PHP-Code auf den Server zu laden und auszuführen. Schuld ist ein Fehler in der Funktion, die genau das verhindern soll: Typo3 prüft den hochgeladen Dateitypen und verhindert den Upload, wenn es sich um PHP-Skripte handelt.

Der Schutz lässt sich aber umgehen, wenn im Apache-Server das Modul mod_mime aktiviert ist und die Datei mehrere Endungen aufweist, von denen .php aber nicht die letzte angegebene ist. Ein ähnlicher Angriff funktioniert zudem mit präparierten .htaccess-Dateien. Die Entwickler stufen das Problem als kritisch ein.

Für einen erfolgreichen Angriff ist allerdings eine Authentifizierung im Backend oder Frontend von Typo3 erforderlich. Alternativ zum Update führt der Fehlerbericht einen Workaround auf, wie die Typo3-Konfiguration anzupassen ist. Darüber hinaus haben die Entwickler eine Cross-Site-Scripting-Lücke in der Datei rfe_adminlib.inc beseitigt, die unter anderem in den Extensions direct_mail_subscription, feuser_admin und kb_md5fepw zum Einsatz kommen. Systeme, auf denen diese Erweiterungen nicht laufen, sind nicht verwundbar.

Hinweis für alle web-vision Hosting-Kunden:
Sämtliche TYPO3 Installationen wurden von uns, nach bekannt werden der Sicherheitslücke, kostenfrei aktualisiert. Sollten Sie Probleme nach dem Update haben, wenden Sie sich bitte an unser Helpdesk unter support(at)web-vision.de

Quelle:
http://typo3.org/teams/security/security-bulletins/typo3-20080611-1/