Wie bereits gestern angekündigt, hat das Typo3-Team ein Update für alle Version ab 3.x veröffentlicht. Diese Sicherheitslücke ist als sehr kritisch einzustufen.

Durch diese Sicherheitslücke sind in der Vergangenheit Angreifer in der Lage gewesen, beliebige Inhalte vom Webserver abzurufen, z.b. die Konfigurationsdatei localconf.php. Das hierin abgespeicherte Passwort ist nur mit MD5 gehasht, leider ohne Verwendung eines Salt. Somit lässt sich über Webseiten wie hashcrack.com sehr einfach das gewünschte Passwort finden.

Es ist deshalb absolut ratsam, das Update so schnell wie möglich einzuspielen, denn ein Exploit wird voraussichtlich sehr schnell verfügbar sein.

Links:
http://typo3.org/teams/security/security-bulletins/typo3-sa-2009-002/