News Details
09.04.2010 09:34
Security Bulletin TYPO3-SA-2010-008 – Release 4.3.3
Kategorie: Security, RSS Feeds, typo3blogger.deVon: Georg Ringer
Wie bereits angekündigt ist gerade eben eine neue TYPO3 Version veröffentlicht worden. Betroffen sind alle 4.3.x Versionen, bei denen bestimmte Voraussetzungen zutreffen. Alle Details im Security Bulletin.
Voraussetzungen:
- register_globals, allow_url_include, allow_url_fopen auf on
- TYPO3 4.3.x bzw 4.4.x
- Suhosin wird nicht verwendet bzw. URL Schemas sind in der whitelist
Die Auswirkungen bei betroffenen Installationen können fatal sein, da es möglich ist, fremden Code auszuführen!
Mögliche Lösungen:
- Update auf 4.3.3 bzw. aktuelle SVN-Version bei 4.4.
- register_globals, allow_url_include oder allow_url_fopen auf off
- Den im Bulletin zu findenden Patch verwenden (für alle, die nicht auf eine höhere Version updaten wollen)
- Die im Bulletin zu findenden gefixten Files verwenden (für alle, die sich mit patchen nicht auskennen)
- Folgende mod_security-Regel verwenden: SecRule ARGS:error “^(https?|ftp)” “deny”
Achtung!
Die Lücke wurde bereits ausgenützt, daher ist es wirklich wichtig zu aktualisieren wenn Installationen die Voraussetzungen erfüllen!
------------------------------------------------------
Dies ist ein Post vom TYPO3 Blog typo3blogger.de!
Kommentare zu dieser News
einen Kommentar schreiben
Kontakt
Mollio
