Die Entwickler des quelloffenen Content-Management-Systems
Typo3 warnen vor einer schweren Sicherheitslücke, mit der Angreifer
dem System beliebige Kommandos unterschieben können. Ursache des Problems
ist die fehlende Filterung von übergebenen Nutzerparametern in der Erweiterung
rtehtmlarea, die ab Typo3 4.0 standardmäßig enthalten ist. Auf Systemen
vor Version 4.0 kann das Modul optional installiert sein.
Das Modul nutzt zum Syntaxcheck das Systemtool aspell und ruft es über
System Calls auf. Durch präparierte Parameter kann ein Angreifer damit
eigene Befehle an den Server übergeben und ausführen. Eine Authentifizierung
ist dazu nach Angaben des Entdeckers der Lücke, die Firma SEC Consult,
nicht notwendig. Damit der Angriff funktioniert, muss allerdings die PHP-Sicherheitsoption
safe_mode deaktiviert sein. Näheres erklärt das Security Bulletin
auf der Typo3-Homepage. Betroffen sind die aktuelle Version 4.0, Typo3 4.1 beta
1 sowie die älteren Releases 3.7.x und 3.8.x. Auf dem Typo3-Server stehen
Fixes für alle Typo3-Versionen bereit.
Das Typo3-Team hat bislang keinen Hinweis darauf, dass das Problem von einem
Angreifer erkannt oder gar ausgenutzt wurde. Aufgrund der Schwere des Fehlers
raten sie aber dringend dazu, Installationen schnell zu aktualisieren.