Meldung

Typo3 mit kritischer Sicherheitslücke

Im freien Content Management System (CMS) Typo3 hat sich ein kritisches Sicherheitsleck offenbart. Angreifern ist es unter Ausnutzung einer Schwachstelle möglich, auf beliebige auf dem Webserver abgelegte Dateien zuzugreifen.
Wie die Typo3 Association in einem Security Bulletin [1] mitteilt, ist die jumpUrl-Funktion das schwache Glied in der Kette: Normalerweise dazu da, um den Zugriff auf Webseiten zu messen, macht der Mechanismus unter Umständen einen geheimen Hash öffentlich, der den vollen Zugriff auf alle Dateien des Webservers erlaubt. Dazu zählt unter anderem auch die Datei typo3conf/localconf.php, in der sich das Passwort für das Installations-Tool sowie die Zugangskennung zur Datenbank finden.

Betroffen sind die Versionen 3.3.x, 3.5.x, 3.6.x, 3.7.x, 3.8.x, 4.0 bis 4.0.11, 4.1.0 bis 4.1.9, 4.2.0 bis 4.2.5 sowie 4.3alpha1. Um das Einfallstor zu schließen, wird zum einen ein Update auf die Versionen 4.0.12, 4.1.10 oder 4.2.6 empfohlen, die nicht unter der Sicherheitsproblematik leiden. Auch das Einspielen eines Patches oder die manuelle Änderung im betroffenen PHP-File sollen das Problem aus der Welt schaffen.

Weitere Infos:

[1] http://typo3.org/teams/security/security-bulletins/typo3-sa-2009-002/

11.02.2009/ln

Tipps & Tools

Gemeinsam gegen Hacker [30.07.2010]

Geht es um die Sicherheit im Unternehmen, sind die Angreifer meistens ebenso schnell bei der Entwicklung von Schadprogrammen wie die Anbieter neuer Security-Lösungen - wenn nicht schneller. Daher schadet es nicht, neben der Hard- und Software der Sicherheitsinfrastruktur auch dem Gespür anderer IT-Kollegen zu vertrauen und sich in Sachen aktueller Gefahren auszutauschen. Mit dem neuen 'Anti-Hack Forum' steht eine entsprechende Internet-Community bereit. [mehr]

Eine Frage der Sicherheit [20.07.2010]

Geht es um die IT-Sicherheit, ist wohl jedem Admin an einem möglichst umfassenden Schutz gelegen - im Idealfall gepaart mit minimalem Aufwand. Um die Sicherheitsansprüche von KMU-Betrieben besser einschätzen zu können, führt BitDefender in Kooperation mit IT-Administrator eine Sicherheitsumfrage durch, in der es um die Security-Standards in Unternehmen geht. Unter den Teilnehmern verlost der Hersteller unter anderem ein Apple iPad. [mehr]

Spuren auf Workstations verwischen [11.06.2010]

Nmap-Scan in XML-Datei ausgeben [20.05.2010]

[weitere Tipps & Tools]

Fachartikel

Gefährliches Wurmloch: Der Windows-Link-Exploit [26.07.2010]

Seit Juni macht das Rootkit 'Stuxnet' weltweit Schlagzeilen: Es nutzt eine Windows-Sicherheitslücke im Link-Format, um industrielle SCADA-Systeme zu hacken - und steckt dabei voller innovativer Angriffstechnik. Martin Dombrowski, Ethical Hacker und System Engineer beim Security-Value-Add-Distributor entrada, hat den Schädling seziert und zeigt das Bedrohungspotenzial der Schwachstelle auf. [mehr]

Herausforderungen beim Access Management [14.07.2010]

[weitere Fachartikel]

Sponsored Links

  Schulungspartner von Cisco, Microsoft, VMware u.v.m., Zertifizierungen, hohe Termindichte, bundesweites Angebot, optimaler Wissenstransfer & professionelle Trainer! Kurs-Vielfalt zu TOP-Preisen!
  Neu! 2X Software VirtualDesktopServer v.8.1 - Server- based Computing und VDI- unabhängige Desktop-Virtualisierung dank VMware ESX/ESXi, Microsoft Hyper-V und Citrix XenServer Support. Jetzt kostenlos testen!
  Controlware GmbH, Systemintegrator und IT-Dienstleister, unterstützt Sie in den Bereichen Communication Solutions, Information Security, Physical Security, IT-Management, Application Delivery und IT-Service & Operating.
  Pimp your Microsoft SCCM! Shavlik SCUPdates erweitert den Microsoft System Center Configuration Manager (SCCM) um die Möglichkeit, auch alle wichtigen Nicht-Microsoft-Standard-Applikationen zu patchen / upzudaten. Jetzt testen!
  Für IT-Administrator-Leser: Jetzt bei BitDefender-Sicherheitsumfrage Apple iPad gewinnen! Außerdem: 35% Rabatt auf BitDefender Business-Lösungen. Wechseln Sie jetzt von Ihrer bisherigen Sicherheitsanwendung – mit Anrechnung der Restlaufzeit!
  Optimales Geräte-Management (Endpoint Protection), Patch-Management, Softwareverteilung, Asset-Management, Lizenzverwendung, Network Discovery, GreenIT/Energie-Management, OSDeploy Freeware. Sichere USB-Sticks verhindern Datenverlust!
  Power of 3 (SNW Europe, Datacenter Technologies, Virtualization World), 26. – 27.10.2010, Congress Frankfurt. Kostenloser Eintritt für IT-Endanwender mit Promocode: M14P10.

Partner Links

  Jetzt Kongress-Teilnahme zum Frühbucher- und IT-Administrator Abonnenten-Vorzugspreis sichern! 2 Workshop-Tage nur für Admins z.B. zu Virtualisierung, Windows 7 Migration, SAN-Datenmanagement, Windows-Server: Active Directory, Hyper V R2 u.v.m.
  IT-Bücher, Video-Trainings und openbooks für Administratoren. Umfangreiches Fachwissen zu Betriebssystemen, Servern, Virtualisierung u.v.m.
  IT-Forum, News und Knowledgebase, Diskussionsforum mit einer Wissensdatenbank für alle IT-Benutzergruppen
  Die ultimative Hilfeseite für Windows Vista, Windows 2000 und Windows XP
  Probleme mit Windows ? Die Lösung gibt es bestimmt im WinTotal-Forum!
  Aus der Synergie von Expertenwissen und Entwickler-Know-how schaffen die Mitarbeiter der sepago einen innovativen Mehrwert für die IT-Community.
  Begeben Sie sich mit dem Just Community e.V. auch dieses Jahr auf die Mission „NRW Conf 2010“ im Kampf gegen Unwissenheit und schlecht laufende IT Projekte.
  Das IT-Treff besteht seit 2003 als Jobbörse mit ausschließlicher Spezialisierung auf den Themenbereich Informationstechnologie und Telekommunikation.
  Wir von der acocon GmbH haben uns als Ziel gesetzt Menschen, Prozesse und Technologien im Unternehmensumfeld näher zusammen zu bringen.

Whitepapers

Datenrettung als essentieller Bestandteil der Disaster Recovery Planung [1.04.2010]

Computer Forensik – Beweisermittlung auf den digitalen Spuren [1.04.2010]

Meeting the Challenges of Disaster Recovery [24.02.2010]

[weitere Whitepapers]

Buchbesprechung

Microsoft Windows 7

von Dirk Rzepka, Uwe Bünning

[weitere Bücher]

Nächster Workshop

ITANet-Workshop »Windows 7« am 21.09.2010 in Karlsruhe

ITANet-Workshop »Windows 7« am 13.08.2010 in Lingen

[weitere Workshops]

Seminarmarkt-News

IT sicherer und günstiger [26.07.2010]

[Seminare & Events]

Anzeigen