24. Februar 2010
Sicherheitslücken in Typo3
Angesichts der Schwere der Lücken und der hohen Anzahl an installierten
Typo3 Content-Management-Systemen bittet CERT.at um Beachtung der folgenden
Hinweise.
Beschreibung
Typo3 enthät Bugs im Bereich Authentication, sowie Probleme mit
Cross-Site-Scripting und Information Disclosure.
Information Disclosure
Wenn ein neuer Backend-User angelegt wird, kann der ausführende Benutzer
alle persönlichen Daten aller existierenden Backend-User (ausser
Passwörtern) auslesen.
Cross-Site-Scripting via Backend
Benutzer mit gültigem Backend-Account können aufgrund mangelhafter
Prüfung von Usereingaben Cross-Site-Scripting an mehreren Stellen
auslösen
Cross-Site-Scripting via Frontend
Wird Typo3 unter PHP als CGI betrieben, kann unter Umständen durch
Übergabe eines URL-Parameters ein Fehler ausgelöst werden
und dadurch beliebiges HTML angezeigt werden.
Authentication Bypass
Wir in Typo3 in Version 4.3.x die Erweiterung "saltedpasswords" verwendet, ist es unter Ümständen
möglich, ohne Kenntnis des tatsächlichen Passworts, nur mit dem
Salted/Hashed Passwort, gegen das System zu authentisieren.
Diese Erweiterung ist per Default allerdings nicht aktiv.
Auswirkungen
Vor allem das Problem mit Cross-Site-Scripting via Frontend wird wohl bald
für Defacements ausgenützt werden.
Weitere Details können dem
Advisory von Typo3
entnommen werden.
Betroffene Systeme
Alle Typo3-Versionen mit entsprechender Konfiguration vor Version 4.2.12
bzw. 4.3.2.
Abhilfe
Upgrade auf aktuelle Version 4.2.12 bzw. 4.3.2.
Hinweis
Generell empfiehlt CERT.at, wo möglich die "automatisches
Update"-Features von Software zu nutzen, parallel Firewall-Software
aktiv und den Virenschutz aktuell zu halten.
Informationsquelle(n):Meldung von Typo3 (auf Englisch)http://typo3.org/teams/security/security-bulletins/typo3-sa-2010-004/