Sicherheitslücke in Typo3 3.x
In Typo3 wurde nach langer Zeit wieder eine Sicherheitslücke gefunden. Lücke gemeldet am 13.01.06, Patch zur Verfügung gestellt am 14.01.06.
Problem verursacht durch eine fehlerhafte Klassen-Datei und dem require()
Parameter in der init.php
, Zeile 71:
define(’PATHthisScript’,strreplace(’//’,’/’, strreplace(’\’,’/’, (phpsapiname()==’cgi’||phpsapiname()==’isapi’ ||phpsapiname()==’cgi-fcgi’)&&($SERVER[’ORIGPATHTRANSLATED’]?$SERVER[’ ORIGPATHTRANSLATED’]:$SERVER[’PATHTRANSLATED’])? ($SERVER[’ORIGPATHTRANSLATED’]?$SERVER[’ORIGPATHTRANSLATED’]:$SERVER[ ‘PATHTRANSLATED’]):($SERVER[’ORIGSCRIPTFILENAME’]?$SERVER[’ORIGSCRIPTFILENAME’]:$SERVER[’SCRIPT_FILENAME’]))));
Das nenn ich eine "fixe" Reaktion - Nur leider bleibt mir trotz vorhandenem Login der Zugriff auf den Patch bzw. auf das Ticket verwehrt. Strange.
[via Jabber]
technorati tags: typo3, security, patch, bug, cms
About the author
Jan Beilicke is a long-time IT professional and full-time nerd. Open source enthusiast, advocating security and privacy. Sees the cloud as other people's computers. Find him on Mastodon.