Ein Fehler in dem Open-Source-Backup-Tool MySQLDumper und der darauf aufbauenden gleichnamigen TYPO3-Extension ermöglicht das Ausführen beliebiger SQL-Kommandos auf den betroffenen Systemen.

Da nach Angaben des TYPO3-Security-Teams bisher keine Reaktion der MySQLDumper-Entwickler auf die gemeldete Sicherheitslücke erfolgte, wird dringend von der Verwendung von MySQLDumper sowohl als Extension für TYPO3 als auch in der Standalone-Version abgeraten.

Um sicherzugehen, dass die Sicherheitslücke von MySQLDumper nicht mehr ausgenutzt werden kann, empfiehlt das TYPO3-Security-Team zur Zeit das Löschen sämtlicher MySQLDumper-Dateien vom Server.

Würde man die MySQLDumper-Extension lediglich im TYPO3 Extension Manager deinstallieren, wäre sie immer noch von außen erreichbar und das System über die Sicherheitslücke gefährdet.

• Weiterführende Links:
• Security-Bulletin 20070703-1 des TYPO3-Security-Teams