Achtung: Angreifer können über Typo3 Ihre Website hacken

11. Oktober 2010
Arne Schwarze Von Arne Schwarze, IT Sicherheit, News & Trends ...

Die Schwachstelle im weit verbreiteten Content Management System (CMS) Typo3 gewährt Unbefugten unter anderem Zugriff auf Nutzername und Passwort der Datenbank.

Diese Daten befinden sich, ebenso wie das gehashte Passwort für das Installations-Tool, in der Konfigurationsdatei "localconf.php", die durch die Sicherheitslücke ausgelesen werden kann. Auch auf sämtliche anderen Dateien erhalten Angreifer über die Schwachstelle Zugriff.

Eine nahezu identische Schachstelle sorgte bereits vor über einem Jahr für mächtig Furore, nachdem unter anderem die Websites von Wolfgang Schäuble und dem FC Schalke 04 manipuliert worden waren.

Ihre Website ist von der gefährlichen Sicherheitslücke  betroffen, wenn Sie eine der Typo3-Versionen 4.2.14, 4.3.6 oder 4.4.3 verwenden. Spielen Sie in diesem Fall unbedingt das jeweilige Update 4.2.15, 4.3.7 oder 4.4.4 ein, um sich vor erfolgreichen Angriffen über die Sicherheitslücke zu schützen. Die Updates beheben außerdem weitere Schwachstellen, die Cross-Site-Scripting- (XSS) und DoS-Angriffe ermöglichen.

Wenn Ihnen ein Update nicht möglich ist, schließen Sie die Schwachstelle kurzfristig, indem Sie in der betroffenen Abfrage in der Datei "class.tslib_fe.php" manuell ein Gleichheitszeichen ergänzen. Dafür haben die Typo3-Entwickler eine Anleitung und ein Script bereitgestellt.

Gratis: Anti-Virus Paket - Jetzt neu für Windows!

+ Gratis Viren-Eilmeldungen per E-Mail

  • Keine Chance für Hacker!
  • Von PC-Sicherheits-Experten geprüft!
  • + Gratis E-Mail-Ratgeber "Viren-Ticker"!

Weitere Artikel zum Thema

Gratis: Anti-Virus Paket - Jetzt neu für Windows!

  • + Gratis E-Mail-Ratgeber "Viren-Ticker"!
DDV Qualitätsstandard E-Mail-Marketing
  • Wir benötigen Ihre E-Mail-Adresse für die Zusendung des Newsletters.
  • Wir geben Ihre E-Mail-Adresse garantiert nicht an Dritte weiter.
  • Jederzeit abbestellbar durch einen Link im Newsletter.
Unsere Experten

Rudolf Ring twittert für @Computerwissen

Die von Ihnen eingegebene E-Mail Adresse ist nicht korrekt. Bitte korrgieren Sie Ihre Eingabe und klicken Sie auf "OK":

Bitte wählen Sie mindestens einen Newsletter aus und klicken Sie auf "OK"