Ursache des Problems ist die fehlende Filterung von übergebenen Nutzerparametern in der Erweiterung rtehtmlarea, die ab TYPO3 4.0 standardmäßig enthalten ist. Auf Systemen vor Version 4.0 kann das Modul optional installiert sein.
Das Modul nutzt zum Syntaxcheck das Systemtool aspell und ruft es über System Calls auf. Durch präparierte Parameter kann ein Angreifer damit eigene Befehle an den Server übergeben und ausführen. Eine Authentifizierung ist dazu nach Angaben des Entdeckers der Lücke, die Firma SEC Consult, nicht notwendig. Damit der Angriff funktioniert, muss allerdings die PHP-Sicherheitsoption safe_mode deaktiviert sein. Näheres erklärt das Security Bulletin auf der TYPO3-Homepage. Betroffen sind die aktuelle Version 4.0, TYPO3 4.1 beta 1 sowie die älteren Releases 3.7.x und 3.8.x. Auf dem TYPO3-Server stehen Fixes für alle TYPO3-Versionen bereit.
Das TYPO3-Team hat bislang keinen Hinweis darauf, dass das Problem von einem Angreifer erkannt oder gar ausgenutzt wurde. Aufgrund der Schwere des Fehlers raten sie aber dringend dazu, Installationen schnell zu aktualisieren.
Schreibe einen Kommentar