Sicherheitslücken in Typo3

28. Juli 2010

Angesichts der Schwere der Lücken und der hohen Anzahl an installierten Typo3 Content-Management-Systemen bittet CERT.at um Beachtung der folgenden Hinweise.

Beschreibung

Typo3 enthät Bugs die zu SQL Injection, Arbitrary Code Execution und Cross-Site-Scripting führen können sowie Probleme mit Information Disclosure, unsicheren Zufallszahlen und Authentication/Session Management.

SQL Injection

Benutzer, die das Recht haben, Records zu editieren, die eine bestimmte WHERE-Klausel enthalten bzw. das Auto-Suggest-Feature benutzen, können diesen Bug ausnutzen.

Arbitrary Code Execution

In gewissen Webserver-Setups ist es für gültige Benutzer möglich, Dateien hochzuladen, die dann als PHP mit den Rechten des Webservers selbst ausgeführt werden.

Cross Site Scripting

Für gültige Backend-Benutzer ist es möglich, durch unzureichende Prüfung von Benutzereingaben, XSS-Bugs an mehreren Stellen auszunützen.

Information Disclosure, Insecure Randomness und Authentication/Session Management

Details siehe das Advisory von Typo3.org.

Auswirkungen

Betroffene Systeme

Alle Typo3-Installationen mit entsprechender Konfiguration bis einschliesslich der Versionen

• 4.1.13
• 4.2.12
• 4.3.3
• 4.4

Abhilfe

Upgrade auf die entsprechend angepassten Versionen

• 4.1.14
• 4.2.13
• 4.3.4
• 4.4.1

Allgemeiner Hinweis zur Hebung der Systemsicherheit

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.

---

Informationsquelle(n):

Meldung von Typo3 (Englisch)
http://typo3.org/teams/security/security-bulletins/typo3-sa-2010-012/