Durch eine Sicherheitslücke im TYPO3-Kern kann ein Angreifer unter Umständen beliebige Dateien auslesen. Das geht aus dem neuesten "Security Bulletin" hervor. Auf diese Weise könnten beispielsweise auch Benutzername und Passwort der Datenbank aus der localconf.php ausgelesen werden. Es stehen nun die Versionen 4.0.12., 4.1.10 und 4.2.6, sowie ein Shell-Script zum Patchen der betroffenen Datei "class.tslib_fe.php" zum Download bereit.
One answer
von Torben Hansen 10.02.2009 (16:20Uhr) 1.
..."unter Umständen" ist schon sehr milde formuliert.
Jeder der auch nur ein bisschen PHP Code lesen kann, sollte sehr schnell rausgefunden haben, wie man die Lücke ausnutzt.