PHP- Schwachstelle: Update des „PharStreamWrappers“ von TYPO3 notwendig

Aktualisieren Sie Ihre Erweiterung, damit Fremde nicht beliebigen Programmcode via PHP ausführen können.

Uli Häfele Foto

Uli Häfele

Business Consultant

Nachdem ein potentielles PHP-Sicherheitsproblem das TYPO3-CMS gefährdete und die Schwachstelle auf dem Black-Hat-Sicherheitsevent im August 2018 öffentlich gemacht wurde, war dringender Handlungsbedarf erforderlich.

Vor der öffentlichen Bekanntgabe erhielten die Entwickler von TYPO3 die Möglichkeit, entsprechende Sicherheitsmaßnahmen durchzuführen und die Lücke zu schließen. Ergebnis war der „PharStreamWrapper“ als Erweiterung für TYPO3. Damit war die Lösungssuche für das TYPO3-Core-Team noch nicht beendet und die Lösung für die PHP-Sicherheitslücke, die nicht nur TYPO3-Projekte betraf, sollte allgemein nutzbar gemacht werden. Mittels einer MIT-Lizenz auf Github stellte man das Package für alle betroffenen PHP-Systeme zur Verfügung, sieht sich das Core-Team doch gemäß dem Motto „Together we are stronger“ im Sinne der Community dazu verpflichtet.

Mit einem Update vom 22.10.2018 ist nun bekannt geworden, dass in der TYPO3-Erweiterung eine Schwachstelle nicht authentisierten Angreifern das Ausführen von beliebigem Programmcode ermöglicht. Aufgrund dessen ist auf die Versionen 3.0.1 und 2.0.1 des Erweiterungspaketes zu aktualisieren, um die Systemsicherheit wiederherzustellen. Nutzer, die PHP 7.0 und höher verwenden, sind angehalten Version 3.0.1 zu installieren und Nutzer mit der Version PHP 5.3 und höher sollten das Update 2.0.1 installieren.

Den Link zum Download finden Sie im diesem Beitrag zugrunde liegenden Artikel bei typo3.org.

 

 

Suchen Sie zuverlässigen und langfristige Support-Betreuung Ihrer Internetpräsenz, kontaktieren Sie uns für nähere Informationen.

Support anfragen