Contao-News

Wir informieren Dich hier regelmäßig zu Updates, stellen Best-Practice-Arbeiten vor und berichten über Aktuelles aus dem Contaoversum.

Schwere Sicherheitslücke im TYPOlight-Installtool

von

Eine schwere Sicherheitslücke wurde im TYPOlight-Installtool entdeckt, die es jedem ermöglicht, die Passwort-Abfrage zu umgehen und die Datenbank-Zugangsdaten sowie - falls der Safe Mode Hack verwendet wird - FTP-Zugangsdaten auszulesen. Um das Problem zu beheben, aktualisieren Sie auf die neueste Version (2.7.6) oder installieren Sie einen der folgenden Patches!

Welche Versionen sind betroffen

Leider betrifft die Sicherheitslücke alle TYPOlight-Versionen. Nur wenn Sie das TYPOlight-Backend zusätzlich mit einer .htaccess-Authentifizierung geschützt haben, ist Ihre Installation sicher.

Wie man die Sicherheitslücke behebt

Wenn Sie den Live Update Service nutzen, aktualisieren Sie auf die neueste Version (2.7.6). Andernfalls laden Sie sich einen der folgenden Patches herunter und ersetzen Sie die Datei typolight/install.php sowie die Datei typolight/ftp.php (hinzugefügt in Version 2.6).

Patch für Version 2.7
Patch für Version 2.6
Patch für Version 2.5
Patch für Version 2.4

Um Ihre Installation zusätzlich abzusichern oder wenn Sie aus irgendwelchen Gründen nicht aktualisieren können, schützen Sie das Backend (den Ordner typolight) mittels .htaccess:

<FilesMatch "(ftp|install)\.php$">
  AuthName "TYPOlight back end"
  AuthType Basic
  AuthUserFile .htpasswd
  require valid-user
</FilesMatch>

Ändern Sie Ihre Zugangsdaten!

Wenn Sie vor dem heutigen Tag keine .htaccess-Authentifizierung genutzt haben, ändern Sie auf jeden Fall Ihr Datenbankpasswort und - sofern Sie den Safe Mode Hack nutzen - Ihr FTP-Passwort!

Benutzerkonten prüfen

Da die Sicherheitslücke unter anderem auch das Anlegen von Administrator-Konten ermöglicht, sollten Sie unbedingt die Liste der Backend-Benutzer auf neue bzw. fremde Konten prüfen.

Bei Fragen wenden Sie sich bitte an das Forum. Ich möchte mich für die Umstände entschuldigen.

Zurück zur News-Übersicht.

Kommentare

Einen Kommentar schreiben

Bitte addieren Sie 2 und 5.