XSS-Leck in Typo3

Daniel Dubsky, 11. Februar 2009, 9:27 Uhr

Typo3 steht ab sofort in den Versionen 4.0.12, 4.1.10 und 4.2.6 zum Download bereit. Darin haben die Entwickler ein kritisches Sicherheitsleck im junmpURL-Mechanismus behoben, das sich für Cross-Site-Scriptings missbrauchen lässt und dazu führen kann, das ein Angreifer auf alle Dateien des Servers zugreifen kann.

Wer nicht die neuen Versionen einspielen will, kann das Leck auch per Shell-Skript abdichten oder die betroffene class.tslib_fe.php von Hand ändern. (Daniel Dubsky)

((Update))
Es wird bereits versucht, das Leck in Typo3 auszunutzen. Prominentestes Opfer ist Wolfgang Schäuble – die Website des Bundesinnenministers wurde gehackt.

Lesen Sie auch :

Strato erweitert Homepage-Baukasten um Website-Importfunktion

Entwickler haben Typo 3 CMS 7.5 freigegeben

CMS Typo3 jetzt in Version 7.0 verfügbar

Melde dich kostenlos bei Silicon DE an

Erhalten Sie die neuesten IT-Nachrichten, Analysen, Funktionen und Interviews zu wichtigen Themen der Technologiebranche direkt in Ihren Posteingang. Neben unserer Expertenberichterstattung erhalten Sie auch andere nützliche Ressourcen wie Jobs, Whitepapers und Downloads. Melden Sie sich noch heute kostenlos an und informieren Sie sich über alle Aspekte der IT-Revolution.