[TYPO3-UG Freiburg] Security Patch für Typo3
Nico de Haen
typo3 at ndh-websolutions.de
Tue Feb 10 10:29:14 CET 2009
Hallo zusammen,
für alle die den Security Newsletter von Typo3 niocht abonniert haben:
Heute wurde eine "echte" Sicherheitslücke publiziert, die man wirklich
beheben sollte, da sie es ermöglicht, die localconf.php auszulesen.
http://typo3.org/teams/security/security-bulletins/typo3-sa-2009-002/
Betroffen sind alle Versionen. Es braucht keinen Backendzugang o.ä.
Die Lücke kann auch mit Skripten ausgenutzt werden, d.h. es ist nur
eine Frage der Zeit, bis robots unterwegs sind und nach "ungepatchten"
Typo3-Versionen suchen.
Also diesmal muss man wohl wirklich patchen. Zum Glück kann man,
wenn man eine "antike" Typo3 Installation hat, die man auf keinen Fall
anrühren
möchte, auch nur die eine fehlerhafte Zeile bearbeiten. (Der Fehler
besteht darin,
dass ein generierter MD Hash in der Fehlermeldung ausgegeben wird, so dass
man dann den richtigen Hash mitgeteilt bekommt)
Liebe Grüße,
Nico
PS: Was macht die Raumdiskussion? Ich denke wir sollten uns diese Woche
entscheiden...
More information about the TYPO3-UG-Freiburg
mailing list