Sicherheitslücke in TYPO3

Dieser Eintrag wurde veröffentlicht unter News und Updates Sicherheit

Sicherheitslücke in TYPO3

19. Februar 2015

Angesichts der potentiellen Auswirkung der Lücke und der hohen Anzahl an installierten
TYPO3 Content Management Systemen bittet CERT.at um Beachtung der folgenden
Hinweise.

Beschreibung

TYPO3 Core enthält einen Bug in Zusammenhang mit der rsaauth Komponente,
der dazu führen kann, dass sich ein Angreifer ohne gültige Credentials
(Username/Passwort) im Frontend Bereich (nicht im Backend) einloggen kann.

CVSS v2.0: AV:N/AC:L/Au:N/C:P/I:P/A:N/E:F/RL:O/RC:C (von typo3.org)

Auswirkungen

Je nachdem, für welche Business-Prozesse die Frontend-Logins verwendet werden, unterscheiden
sich auch die Auswirkungen eines Angriffs – dies kann von Informationsabfluss (etwa wenn
gewisse Dokumente nur registrierten Kunden zugänglich sein sollen) bis hin zu Eingabe
falscher Daten, „Spass“-Bestellungen unter fremden Namen und Preisgabe von Kundendaten (Beispiel
Rechnungsdownload) reichen.

Da das TYPO3-Backend nicht betroffen ist, wird in üblichen Setups eine
Veränderung des eigentlichen Webseiten-Inhalts nicht möglich sein.

Betroffene Systeme

Alle TYPO3-Installationen in den folgenden Versionen:

  • 4.3.0 bis 4.3.14
  • 4.4.0 bis 4.4.15
  • 4.5.0 bis 4.5.39
  • 4.6.0 bis 4.6.18

wenn noch folgende Voraussetzungen zutreffen:

  • Zugriffsbeschränkte Frontend Area (frontend login)
  • Extension rsaauth ist geladen
  • Extension rsaauth ist für Frontend Usage konfiguriert

Wenn die Externsion rsaauth nicht konfiguriert ist, ist TYPO3 nicht für
diese Lücke anfällig.
TYPO3 in Versionen 4.7.0 und neuer sind nicht betroffen.

Weitere Details sind im Advisory von
TYPO3 angeführt.

Abhilfe

Upgrade auf die entsprechend angepassten Versionen

  • 4.5.40
  • 4.7.x

Für Situationen, wo ein Upgrade nicht (einfach) möglich ist, sind im
Advisory von TYPO3 noch weitere Möglichkeiten aufgeführt, mit denen dieses
Problem gelöst werden kann.

Hinweis

Generell empfiehlt CERT.at, wo möglich die „automatisches Update“-Features von
Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.

Informationsquelle(n):

Meldung von TYPO3 (Englisch)
http://typo3.org/news/article/authentication-bypass-in-typo3-cms-45/

Weiterlesen: Cert.at

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.