Typo3 - Remote Command Execution via PHP möglich

Blog

News Weltweit :)

Typo3 - Remote Command Execution via PHP möglich

Posted by: admin on Apr 10, 2010

Tagged in: Webdesign , Typo3 , Software , Programmierung , PHP , Content , CMS

Die Entwickler des CMS-Framework Typo3 schlagen in einem Mailing an Diese E-Mail-Adresse ist gegen Spambots geschützt! JavaScript muss aktiviert werden, damit sie angezeigt werden kann. Alarm; auch der Sicherheitsdienstleister Secunia stuft das Problem als "highly critical" ein. In den Typo3-Versionen 4.3.0, 4.3.1 und 4.3.2 (ebenso in bisherigen Entwicklerversionen des 4.4-Zweigs) kann ein Angreifer PHP-Code von einem externen Server einschleusen und innerhalb von Typo3 ausführen.

Das Advisory SA-2010-008 beschreibt detailliert, wie sich Abhilfe schaffen lässt. Zum einen löst ein Upgrade auf Version 4.3.3 das Problem. Es gibt überdies drei PHP-Schalter, von denen mindestens einer auf "off" stehen muss, damit die Lücke nicht ausgenutzt werden kann:

register_globals ("off" by default, advised to be "off" in TYPO3 Security Cookbook)

allow_url_include ("off" by default)

allow_url_fopen ("on" by default)

Die Chancen stehen gut, dass einer davon bereits standardmäßig abgeschaltet ist und es ist eine gute Idee, alle abzuschalten. Aber erstens gibt das in manchen Fällen Kompatibiltätsprobleme und zweitens hat man als Kunde eines Web-Hosters unter Umständen nur sehr eingeschränkte Möglichkeiten, die PHP-Einstellungen selbst zu verändern.

Wer ein Typo3-System administriert, sollte jedenfalls jetzt sofort nachsehen, ob er betroffen ist, und dann die nötigen Maßnahmen ergreifen. Wer dazu schnell nachschauen will, wie die PHP-Variablen gesetzt sind, legt einfach eine Datei test.php an:

phpinfo();
?>

und ruft die im Browser dann auf. Danach löschen Sie diese Datei wieder, weil sie sonst einem potenziellen Angreifer viele Informationen preis gibt. Siehe dazu auch

Grundsicherung für PHP-Software

(gr)