Typo3 Sicherheitslücke
In den Versionen 4.3.0, 4.3.1 und 4.3.2, als auch in den bisherigen Development-Versionen von Typo3 Version 4.4 ist eine sicherheitskritische Lücke bekannt geworden, die es Angreifern ermöglicht PHP Code von extern einzuschleusen und in Typo3 auszuführen.
Die Entwickler raten daher umgehend das erst erschienene Update auf Version 4.3.3 durchzuführen. Sollte dies nicht möglich sein, muss mindestens eine der folgenden Variablen auf "off" gestellt sein:
register_globals (Standard: "off")
allow_url_include (Standard: "off")
allow_url_fopen (Standard: "on")
Diese können über phpinfo(); angezeigt werden.
Update:
Auch der Heise-Zeitschriftenverlag hat auf dem seiner Internetseite über den Fehler berichtet.
http://www.heise.de/newsticker/meldung/Typo3-Remote-Command-Execution-via-PHP-moeglich-974763.html
Es ist dringend zu empfehlen, dort wo noch nicht geschehen, das Update so schnell wie möglich einzuspielen, da das Problem als sehr kritisch eingestuft werden muss.
