Wie die Typo3 Association in einem Security Bulletin [1] mitteilt, ist die jumpUrl-Funktion das schwache Glied in der Kette: Normalerweise dazu da, um den Zugriff auf Webseiten zu messen, macht der Mechanismus unter Umständen einen geheimen Hash öffentlich, der den vollen Zugriff auf alle Dateien des Webservers erlaubt. Dazu zählt unter anderem auch die Datei typo3conf/localconf.php, in der sich das Passwort für das Installations-Tool sowie die Zugangskennung zur Datenbank finden.
Betroffen sind die Versionen 3.3.x, 3.5.x, 3.6.x, 3.7.x, 3.8.x, 4.0 bis 4.0.11, 4.1.0 bis 4.1.9, 4.2.0 bis 4.2.5 sowie 4.3alpha1. Um das Einfallstor zu schließen, wird zum einen ein Update auf die Versionen 4.0.12, 4.1.10 oder 4.2.6 empfohlen, die nicht unter der Sicherheitsproblematik leiden. Auch das Einspielen eines Patches oder die manuelle Änderung im betroffenen PHP-File sollen das Problem aus der Welt schaffen.
Meldung
Typo3 mit kritischer Sicherheitslücke
Im freien Content Management System (CMS) Typo3 hat sich ein kritisches Sicherheitsleck offenbart. Angreifern ist es unter Ausnutzung einer Schwachstelle möglich, auf beliebige auf dem Webserver abgelegte Dateien zuzugreifen.
Weitere Infos:
[1] http://typo3.org/teams/security/security-bulletins/typo3-sa-2009-002/
Tipps & Tools
Security Essentials zum Laufen bringen [18.12.2011]
Microsofts Security Essentials sind gerade auf mobilen Rechnern eine Alternative zu kostenpflichtigen Malware-Wächtern. Trotz der gelungenen Installation kann es jedoch vorkommen, dass der Dienst nicht startet - auf dem Bildschirm erscheint stattdessen die Fehlermeldung 'Der Computer wird nicht von Microsoft Security Essentials überwacht, da der Dienst des Programms angehalten wurde. Sie sollten ihn jetzt neu starten.' Ursache für dieses Problem sind nicht selten Inkompatibilitäten mit zuvor installierten Virenwächtern. [mehr]
Spurenloses Surfen im Netz [14.12.2011]
Dass das Internet nur scheinbar anonym ist, bekommen Anfänger mittlerweile schon in den ersten Surf-Grundkursen eingebläut. Jeder Nutzer lässt sich prinzipiell durch die zugeteilte IP-Adresse identifizieren. Doch natürlich gibt es Wege, die eigenen Spuren im Netz zu verwischen beziehungsweise nahezu ganz auszulöschen. Eine Möglichkeit hierzu bietet die kostenfreie Anonymisierungs-Plattform 'JAP AN.ON' der Technischen Universität Dresden. Mit diesem Tool benutzen Sie nach außen eine feste IP-Adresse, die allerdings einer Vielzahl anderer JAP-Nutzern geteilt wird. [mehr]
Digitale Signatur leicht gemacht [7.12.2011]
Benutzerauthentifizierung unter Apache [4.12.2011]
Fachartikel
Sicherheits-Vorteile einer konsolidierten Netzwerkinfrastruktur [25.01.2012]
Ein eigenes Netzwerk für fast jede IT-Aufgabe – viele Unternehmen sind von diesem Horrorszenario nicht weit entfernt. In einem derart heterogenen Netz muss auch der Kampf gegen Sicherheitsbedrohungen stets an mehreren Fronten ausgetragen werden. Die Konsolidierung der verschiedenen Netze bringt in Sachen Security gleich mehrere Vorteile. Im Beitrag auf unserer Webseite erklären wir, wie neben der reinen Malware-Abwehr gerade Aspekte wie Datenschutzrichtlinien, Archivierung und Datenintegrität von einem konsolidierten Netz profitieren. [mehr]
