Die Entwickler des CMS-Framework Typo3 schlagen in einem Mailing an [email protected] Alarm. In den Typo3-Versionen  4.3.0, 4.3.1 und 4.3.2 (ebenso in bisherigen Entwicklerversionen des 4.4-Zweigs) kann ein Angreifer PHP-Code von einem externen Server einschleusen und innerhalb von Typo3 ausführen.

Das Advisory SA-2010-008 (http://typo3.org/teams/security/security-bulletins/typo3-sa-2010-008/) beschreibt detailliert, wie sich Abhilfe schaffen lässt. Zum einen löst ein Upgrade auf Version 4.3.3 das Problem. Es gibt überdies drei PHP-Schalter, von denen mindestens einer auf „off“ stehen muss, damit die Lücke nicht ausgenutzt werden kann:

• register_globals
• allow_url_include
• allow_url_fopen

Die Chancen stehen gut, dass einer davon bereits standardmäßig abgeschaltet ist und es ist eine gute Idee, alle abzuschalten. Aber erstens gibt das in manchen Fällen Kompatibiltätsprobleme und zweitens hat man als Kunde eines Web-Hosters unter Umständen nur sehr eingeschränkte Möglichkeiten, die PHP-Einstellungen selbst zu verändern.