Achtung: Angreifer können über Typo3 Ihre Website hacken

11. Oktober 2010
Arne Schwarze Von Arne Schwarze, IT Sicherheit, News & Trends ...

Die Schwachstelle im weit verbreiteten Content Management System (CMS) Typo3 gewährt Unbefugten unter anderem Zugriff auf Nutzername und Passwort der Datenbank.

Diese Daten befinden sich, ebenso wie das gehashte Passwort für das Installations-Tool, in der Konfigurationsdatei "localconf.php", die durch die Sicherheitslücke ausgelesen werden kann. Auch auf sämtliche anderen Dateien erhalten Angreifer über die Schwachstelle Zugriff.

Eine nahezu identische Schachstelle sorgte bereits vor über einem Jahr für mächtig Furore, nachdem unter anderem die Websites von Wolfgang Schäuble und dem FC Schalke 04 manipuliert worden waren.

Ihre Website ist von der gefährlichen Sicherheitslücke  betroffen, wenn Sie eine der Typo3-Versionen 4.2.14, 4.3.6 oder 4.4.3 verwenden. Spielen Sie in diesem Fall unbedingt das jeweilige Update 4.2.15, 4.3.7 oder 4.4.4 ein, um sich vor erfolgreichen Angriffen über die Sicherheitslücke zu schützen. Die Updates beheben außerdem weitere Schwachstellen, die Cross-Site-Scripting- (XSS) und DoS-Angriffe ermöglichen.

Wenn Ihnen ein Update nicht möglich ist, schließen Sie die Schwachstelle kurzfristig, indem Sie in der betroffenen Abfrage in der Datei "class.tslib_fe.php" manuell ein Gleichheitszeichen ergänzen. Dafür haben die Typo3-Entwickler eine Anleitung und ein Script bereitgestellt.

Gratis: Die besten Viren-Scanner im Test

+ Gratis Eilmeldungen "Viren Ticker" per E-Mail

  • Top-10 der Gratis-Viren-Scanner,
  • das zeichnet einen guten Viren-Scanner aus,
  • Gratis Eilmeldungen sobald ein neuer Virus auftaucht.
DDV Ehrencodex E-Mail-Marketing
  • Wir benötigen Ihre E-Mail-Adresse für die Zusendung des Newsletters.
  • Wir geben Ihre E-Mail-Adresse garantiert nicht an Dritte weiter.
  • Jederzeit abbestellbar durch einen Link im Newsletter.

Unsere Datenschutzgarantie:

Wir benötigen Ihre E-Mail-Adresse für die Zusendung des Newsletters. Wir geben Ihre E-Mail-Adresse garantiert nicht an Dritte weiter. Jederzeit abbestellbar durch einen Link im Newsletter.

Weitere Artikel zum Thema

Gratis: Die besten Viren-Scanner im Test

+ "Viren Ticker" per E-Mail

  • Top-10 der Gratis-Viren-Scanner
  • Gratis Virus-Eilmeldungen
DDV Ehrencodex E-Mail-Marketing
  • Wir benötigen Ihre E-Mail-Adresse für die Zusendung des Newsletters.
  • Wir geben Ihre E-Mail-Adresse garantiert nicht an Dritte weiter.
  • Jederzeit abbestellbar durch einen Link im Newsletter.

Unsere Datenschutzgarantie:

Wir benötigen Ihre E-Mail-Adresse für die Zusendung des Newsletters. Wir geben Ihre E-Mail-Adresse garantiert nicht an Dritte weiter. Jederzeit abbestellbar durch einen Link im Newsletter.

Unsere Experten

Rudolf Ring twittert für @Computerwissen

Die von Ihnen eingegebene E-Mail Adresse ist nicht korrekt. Bitte korrgieren Sie Ihre Eingabe und klicken Sie auf "OK":

Bitte wählen Sie mindestens einen Newsletter aus und klicken Sie auf "OK"