Im OpenSource webCMS TYPOlight ist vor einigen Tagen eine schwere Sicherheitslücke aufgetaucht. Von diesem Leck sind alle TYPOlight-Versionen betroffen. Die Sicherheitslücke befindet sich im Install-Tool und ermöglicht es, die Passwort-Abfrage zu umgehen und die Datenbank-Zugangsdaten sowie – falls der Safe Mode Hack verwendet wird – FTP-Zugangsdaten auszulesen, so der Entwickler Leo Feyer.
Abhilfe schafft entweder ein Update auf die Version 2.7.6 oder man lädt sich ein Patch für die jeweilige Version herunter. Dabei handelt es sich um die Dateien ftp.php (ab 2.6) und install.php, die man im Verzeichnis /typolight findet. Hier ist es ausreichend einfach die beiden Dateien auf den Webspace hochzuladen und die alten Dateien zu überschreiben.
Zudem wird empfohlen, das Backend (Verzeichnis typolight) zusätzlich mittels .htaccess abzusichern. Desweiteren sollte man prüfen ob neue Benutzer angelegt wurden. Im Zweifelsfall sollte man die Passwörter für TYPOlight, Datenbank- und FTP-Zugang ändern.
Die aktuelle Version 2.7.6 steht auf der Projektseite zum Download bereit. Die Patches für die Version 2.4 – 2.7 gibt es hier. Das Update oder den Patch sollte man so schnell wie möglich einspielen um eine Gefährdung der Installation auszuschließen.
