Es gibt einen Fehler in allen Typo3-Versionen, die älter sind als eine Woche (siehe http://www.heise.de/security/news/meldung/132475). Der Fehler ist so billig auszunutzen, dass dringend alle Seiten aktualisiert werden müssen. Der Mechanismus ist so blöd wie einfach.
Man übergibt einem Typo3-System eine URL der Art:
http://meine-typo3domain.de/?jumpurl=typo3conf/localconf.php&juSecure=1&type=0&locationData=1:
Im Prinzip dfordert man hier die Datei localconf.php zum Download an. Typo3 beschwert sich
jumpurl Secure: Calculated juHash, d29a901ee3, did not match the submitted juHash.
gibt dabei den Hash an, den es erwartet. Dann erweitert man die URL eben entsprechend:
http://meine-typo3domain.de/?jumpurl=typo3conf/localconf.php&juSecure=1&type=0&locationData=1:&juHash=d29a901ee3
Schon startet der Download der localconf.php. In der Datei findet man dann die Zugangsdaten für die Datenbank und den Hash vom Passwort für das Install-Tool.
Damit kann man dann schon etwas anfangen, den Hash kann man an einige Hacker-Seiten übergeben, die solche Hashes sammeln und ggf. das Passwort liefern können:
Konsequenzen:
- Install-Tool unbedingt disabeln
- sichere Passwörter setzen (den Hash testen s.o.)
- immer neueste Typo3-Version nutzen
- Zugriffe auf die Datenbank nur lokal erlauben