Wie bereits angekündigt ist gerade eben eine neue TYPO3 Version veröffentlicht worden. Betroffen sind alle 4.3.x Versionen, bei denen bestimmte Voraussetzungen zutreffen. Alle Details im Security Bulletin.
Voraussetzungen:
- register_globals, allow_url_include, allow_url_fopen auf on
- TYPO3 4.3.x bzw 4.4.x
- Suhosin wird nicht verwendet bzw. URL Schemas sind in der whitelist
Die Auswirkungen bei betroffenen Installationen können fatal sein, da es möglich ist, fremden Code auszuführen!
Mögliche Lösungen:
- Update auf 4.3.3 bzw. aktuelle SVN-Version bei 4.4.
- register_globals, allow_url_include oder allow_url_fopen auf off
- Den im Bulletin zu findenden Patch verwenden (für alle, die nicht auf eine höhere Version updaten wollen)
- Die im Bulletin zu findenden gefixten Files verwenden (für alle, die sich mit patchen nicht auskennen)
- Folgende mod_security-Regel verwenden: SecRule ARGS:error „^(https?|ftp)“ „deny“
Achtung!
Die Lücke wurde bereits ausgenützt, daher ist es wirklich wichtig zu aktualisieren wenn Installationen die Voraussetzungen erfüllen!