Updates erforderlich

Typo3 von Sicherheitslücke geplagt

Eine Schwachstelle in Typo3 könnte es Angreifern erlauben, beliebige Dateien herunterzuladen.

Durch einen Fehler in der jumpURL-Funktion in dem Open-Source-CMS Typo3 können Angreifer unter Umständen beliebige Dateien herunterladen. Im schlimmsten Fall fällt darunter auch die Datei localconf.php, in der sich unter anderem das Password (Hash) und der Benutzername der Datenbank befinden.

Das Problem besteht laut Entwickler, weil der Vergleich des übermittelten Hash-Wertes mit dem des vom Computer errechneten nicht Tipp-sicher ist. Typo3 prüfe lediglich, ob die beiden Werte gleich sind ($x == $y) aber nicht, ob diese identisch sind ($x=== $y). Ein Update auf Versionen 4.2.15, 4.3.7 oder 4.4.4 behebt das Problem. Diese Updates merzen auch noch andere Schwachstellen aus. Administratoren sollten die Aktualisierungen so bald als möglich einspielen. (jdo)