Lücke in TYPO3

hahni

Active Member
#1
Hallo zusammen,

wie bei heise.de und anderen Quellen zu entnehmen, gibt es bei TYPO3 mal wieder eine kleine Sicherheitslücke zu vermelden:

http://www.heise.de/newsticker/Luec...ugriff-auf-beliebige-Dateien--/meldung/132298

Was muss man bei einer ISPConfig-Installation beachten? Oft weiß man gar nicht, welcher Kunde das CMS im Einsatz hat.

Kann der Angreifer über den Webspace des jeweiligen Benutzer hinaus auf Daten zugreifen? Also wenn er beispielsweise "web999" hat, auf die "/etc/passwd" und "/etc/shadow", oder nur Ärger im jeweiligen Webspace?

Viele Grüße

Hahni
 

Till

Administrator
#3
Was muss man bei einer ISPConfig-Installation beachten?
garnichts. Da Typo3 != ISPConfig ;)

Kann der Angreifer über den Webspace des jeweiligen Benutzer hinaus auf Daten zugreifen? Also wenn er beispielsweise "web999" hat, auf die "/etc/passwd" und "/etc/shadow", oder nur Ärger im jeweiligen Webspace?
Das hängt von Deiner Serverkonfiguration und Deinen PHP Einstellungen ab, ist aber auch nicht ISPConfig spezifisch.
 

Till

Administrator
#6
Ich habe nichts von php-spezifisch geschrieben. Ich habe gesagt dass es nicht ispconfig spezifisch ist, also auf jegliche Art von apache und php Installationen zutrifft.
 

hahni

Active Member
#7
Mahlzeit Till,

und welche Möglichkeiten würdest du dann ergreifen, um sicherzustellen, dass diese Lücke keine Auswirkungen auf die Server-Sicherheit hat (außer jede Webpräsenz nach TYPO3 zu sichten)...

Viele Grüße

Hahni
 

hahni

Active Member
#11
Ja, allerdings steht beim erneuten Aufruf wieder "fixing file" da. Und wenn was gefixt worden wäre (das Script sucht und ersetzt), sollte das doch nicht der Fall sein...?
 

Werbung

Top