Auch hier möchte ich auf die schwerwiegende Sicherheitslücke in TYPO3 hinweisen:
TYPO3 Security Bulletin TYPO3-SA-2009-002

Die Sicherheitslücke ermöglicht den unbefugten Zugriff auf beliebige Dateien der TYPO3-Installation und darüber hinaus ggf. auf den gesamten Webspace und ist damit als äusserst kritisch einzustufen!

Da sich verwundbare Seiten z.B. via Google leicht aufspüren lassen, sind direkt nach Bekanntwerden der Sicherheitslücke die ersten Webserver über diese Sicherheitslücke gehacked worden.

Prominentes Opfer ist die persöhnliche Website des Bundesinnenministers Wolfgang Schäuble, was an der ganzen Sache ja der eigentlich lustige Teil ist ;-) (Heise Artikel dazu). Aktuell liefert die Seite nur noch ein schlichtes "Die gewünschte Seite ist temporär nicht ereichbar." Schade, ich fand den Hinweis auf www.vorratsdatenspeicherung.de ja viel passender...

Alternativ zum Update der TYPO3-Installation kann die Sicherheitslücke laut TYPO3 sehr leicht manuell beseitigt werden.

Es muss in der Dateien class.tslib_fe.php nur folgende Zeile geändert werden:

< } else die('jumpurl Secure: Calculated juHash, '.$calcJuHash.', did not match the submitted juHash.');
> } else die('jumpurl Secure: Calculated juHash did not match the submitted juHash.');

Das sollte ja wohl JEDER auch ohne grossen Aufwand SOFORT hinbekommen!

Mit ein wenig find-grep-patch-magick ist das auch recht zackig für mehrere TYPO3-Installs z.B. auf einer shared Kiste gemacht.

Das ist aber "nur" ein Quick-Fix und soll natürlich nicht heissen, dass man eine Typo3-Installationen nicht (wie eigentlich jedes System) aktuell halten sollte, aber oft sind das Systeme die mit viel Zeit, Geld und Nerven "zum Laufen" gebracht und dann möglichst nicht mehr angefasst werden...

Stefan Esser erklärt die Hintergründe des phpbb.com Hacks.
Stefan zeigt in seinem Artikel die super-globals-overwrite Schwachstelle in PHPList und warum der "Fix" nur ein Hack ist und nicht das eigentliche Problem behebt.
Bitte lesen und verstehen!