kritische Sicherheitslücke in Typo3

Als ich heute erfahren habe, dass eine neue Lücke, genauer gesagt eine RFI-Schwachstelle in dem weit verbreiteten CMS-System Typo3 gefunden wurde, kamen sofort schlechte Erinnerung wieder hoch, wo es doch schon einmal eine kritische Lücke im Typo3-Kern gab, die auch diverse “Opfer” forderte, wie etwa die Homepage von Wolfgang Schäuble.

Tatsächlich aber dürfte diese nun gefundene Lücke nicht derart verbreitet ausgenutzt werden können und damit auch nicht so große Aufmerksamkeit erregen, da es einige Faktoren gibt, die eine Ausnutzung der Lücke einschränken.

Des Weiteren kommt hier auch zu tragen, dass die Lücke erst in Typo3 Versionen ab 4.3.0 enthalten ist und viele Typo3-Agenturen und Typo3-Anbieter noch auf 4.2.x setzen bzw. zumindest bestehende Websites auf 4.2.x weiterlaufen lassen.

Man wird sehen, inwiefern diese Lücke in Zukunft ausgenutzt wird und ob auch diesmal wieder bekannte Websites erfolgreich gehackt werden können.

Quellen:
typo3.org
securityfocus.com

secunia.com

This entry was posted in Uncategorized. Bookmark the permalink.

3 thoughts on “kritische Sicherheitslücke in Typo3

  1. Nein, es gibt derzeit keinen public Exploit und es besteht auch kein Grund dazu einen zu veröffentlichen. Meine anfängliche Vermutung hat sich bei Tests heute bestätigt: Selbst wenn Typo3-Installationen noch nicht gepatcht sind, ist es bei halbwegs “gut” konfigurierten WebServern nicht möglich, die Lücke auszunutzen. Unter vielen großen Typo3-Sites konnte ich nur eine einzige als vulnerable identifizieren. Und hier war der Webserver wirklich schlecht konfiguriert.

Comments are closed.