Sicherheitslücke im TYPOlight

Für alle die wie ich erst heute wieder in die Arbeitswelt zurückgekehrt sind und diese schwere Sicherheitslücke noch nicht kennen, hier ein kurzer Überblick:

19. Dezember 2009 11:08 von Leo Feyer

Eine schwere Sicherheitslücke wurde im TYPOlight-Installtool entdeckt, die es jedem ermöglicht, die Passwort-Abfrage zu umgehen und die Datenbank-Zugangsdaten sowie – falls der Safe Mode Hack verwendet wird – FTP-Zugangsdaten auszulesen. Um das Problem zu beheben, aktualisieren Sie auf die neueste Version (2.7.6) oder installieren Sie einen der folgenden Patches!

Behebung:

Entweder behebt man das ganze indem man sein Typolight auf die Version 2.7.6 + bringt, oder man läd sich folgende Patches runter:

Patch für Version 2.7
Patch für Version 2.6
Patch für Version 2.5
Patch für Version 2.4

Zusätzlichen Schutz bietet das Absichern des Ordners “typolight” mittels htaccess.

<FilesMatch "(ftp|install)\.php$">
  AuthName "TYPOlight back end"
  AuthType Basic
  AuthUserFile .htpasswd
  require valid-user
</FilesMatch>

Den vollständigen Bericht von Leo Feyer findet ihr hier.
» http://www.typolight.org/neuigkeiten/items/schwere-sicherheitsluecke-im-typolight-installtool.html

Januar 4, 2010 | abgelegt unter Allgemein 

Kommentare

Schreibe einen Kommentar