TYPO3, SEO und Magento

Das TYPO3 Security Team hat eine kritische Sicherheitslücke in den TYPO3 Versionen 4.3.0, 4.3.1 und 4.3.2 entdeckt. Ebenfalls betroffen sind die Alpha-Versionen der Version 4.4 (frühere Versionen wie 4.2.x oder 4.1.x sind nicht betroffen). Bitte lesen Sie die folgenden Informationen aufmerksam durch. Ob die Lücke von einem Angreifer ausgenutzt werden kann, hängt von der jeweiligen PHP Konfiguration ab. Ein Sicherheitsrisiko besteht nur, wenn die beiden Einstellungen: register_globals allow_url_fopen gleichzeitig eingeschaltet sind (“on” bzw. “1″). In diesem Fall kann ein Angreifer über eine entsprechend präparierte URL das System kompromittieren. Anleitung von Jweiland.net: Auf den Servern von jweiland.net ist die Einstellung “register_globals” standardmäßg ausgeschaltet, so dass für die meisten Installationen keine Gefahr besteht. Für TYPO3 ist eine Aktivierung von register_globals NICHT erforderlich, jedoch für einige andere (meist ältere) auf PHP basierende Softwarepakete. Die von uns voreingestellte PHP Konfiguration kann jedoch vom Anwender auf zwei Arten verändert werden, in diesem Fall ist eine Überprüfung erforderlich: 1. Über die Domain-Einstellungen im Kundenmenü, Reiter “Konfiguration”, Auswahlliste “Globale PHP.INI Einstellungen nutzen”. Falls hier die Auswahl auf “Nein (domainspezifisch)” steht, muss überprüft werden, dass die Checkbox bei “register_globals” NICHT gesetzt ist. Diese Einstellung sollte für jede Domain überprüft werden. Bitte beachten Sie, dass bei Auswahl einer domainspezifischen Konfiguration die Option register_globals zunächst aktiviert ist und dann vom Anwender explizit deaktiviert werden muss. Bei Auswahl der “globalen php.ini Konfiguration” ist register_globals deaktiviert. 2. Über eine eigene php.ini Datei in einem Verzeichnis, in dem sich PHP Skripte befinden. Eine eigene php.ini Datei setzt unsere globalen Voreinstellungen ausser Kraft, daher muss – nur bei Verwendung einer eigenen php.ini Datei – in dieser auch die Einstellung “register_globals = off” eingetragen werden. Eine php.ini Datei ist jeweils nur in dem jeweiligen Verzeichnis wirksam. Die Prüfung sollte zumindest in den Startverzeichnissen für die jeweilige Domain überprüft werden (üblicherweise also /typo3cms/projekt1, /typo3cms/muster, etc.). Über den folgenden Weg kann die aktuelle Konfiguration von PHP überprüft werden: 1. Erstellen Sie im Startverzeichnis des jeweiligen TYPO3 Projekts eine Datei test.php mit folgendem Inhalt: 2. Rufen Sie die Datei über einem Browser auf: www.name-ihrer-domain.de/test.php 3. Im Browser erscheint eine Seite mit der aktuellen PHP Konfiguration. Suchen Sie im Abschnitt “Configuration PHP Core” nach der Zeile “register_globals” und prüfen, dass der Eintrag auf off/off steht. Falls der Eintrag auf “off/on” oder “on/on” steht und Sie Fragen zur richtigen Einstellung haben, rufen Sie uns bitte an. 4. Löschen Sie die Datei test.php anschließend, da ansonsten ein Angreifer durch Aufruf der Seite Informationen über die Konfiguration erhalten kann. Sie können auch einen anderen Dateinamen als “test.php” verwenden, die Endung muss jedoch auf “.php” lauten. In der Nacht vom 9. auf den 10. April stellen wir auf allen Hosting Paketen automatisch die neue TYPO3 Version 4.3.3 zur Verfügung. Eine Anleitung zum Umstieg von den Versionen 4.3.x auf 4.3.3 finden Sie auf dieser Seite (Link: http://jweiland.net/index.php?RDCT=c7dda55716b84b90af17 ). Nochmals der Hinweis: falls Sie in den Domain-Einstellungen nicht explizit eine domainspezifische php.ini Konfiguration gewählt oder eigene php.ini Dateien erstellt haben, sind Sie von der Sicherheitslücke nicht betroffen. —————————————————————————- HINWEIS ZU FRÜHEREN TYPO3 VERSIONEN —————————————————————————- Falls Sie eine ältere Version von TYPO3 einsetzen, sollten Sie prüfen, ob Sie die jeweils aktuelle Version verwenden. Für TYPO3 Version 4.2 ist dies die Version 4.2.12 Für TYPO3 Version 4.1 ist dies die Version 4.1.13 Auch bei diesen früheren Ausgaben von TYPO3 sollte die jeweils aktuelle Version eingesetzt werden, da in älteren Versionen ebenfalls Sicherheitslücken existieren. Die verwendete TYPO3 Version können Sie ermitteln, in dem Sie sich als Administrator in das TYPO3 Backend einloggen und dort den Menüpunkt “Über TYPO3″ bzw. “About TYPO3″ aufrufen. Für die Versionen 4.0 und früher gibt es keine Sicherheitsupdates und Support mehr. Falls Sie noch eine solche Version einsetzen, wird ein Update dringend empfohlen. Mit Erscheinen der Version 4.4 (voraussichtlich Juni 2010) werden Support und Sicherheitsupdates für die Version 4.1 ebenfalls eingestellt. Hinweise zu den einzelnen Versionen finden Sie unter http://jweiland.net/index.php?RDCT=7891e58cd5c3c2bae0df Bei Rückfragen stehen wir Ihnen gerne zur Verfügung. Supportanfragen per E-Mail bitte mit Angabe der Kundennummer an hosting@jweiland.net Ihr Hosting-Team von jweiland.net

Andere interessante News:

• TYPO3 Update – Version 4.4.8 und 4.5.3
• TYPO3 – Neue Version 4.2.0 als “stable” verfügbar
• TYPO3 – Neue Funktionen in der 4.5 Version
• TYPO3 – Version 4.6.0 download
• TYPO3 – Version 4.5.2