Deutsch | English

Sicherheitslücke in TYPO3

19. Februar 2015

Angesichts der potentiellen Auswirkung der Lücke und der hohen Anzahl an installierten TYPO3 Content Management Systemen bittet CERT.at um Beachtung der folgenden Hinweise.

Beschreibung

TYPO3 Core enthält einen Bug in Zusammenhang mit der rsaauth Komponente, der dazu führen kann, dass sich ein Angreifer ohne gültige Credentials (Username/Passwort) im Frontend Bereich (nicht im Backend) einloggen kann.

CVSS v2.0: AV:N/AC:L/Au:N/C:P/I:P/A:N/E:F/RL:O/RC:C (von typo3.org)

Auswirkungen

Je nachdem, für welche Business-Prozesse die Frontend-Logins verwendet werden, unterscheiden sich auch die Auswirkungen eines Angriffs - dies kann von Informationsabfluss (etwa wenn gewisse Dokumente nur registrierten Kunden zugänglich sein sollen) bis hin zu Eingabe falscher Daten, "Spass"-Bestellungen unter fremden Namen und Preisgabe von Kundendaten (Beispiel Rechnungsdownload) reichen.

Da das TYPO3-Backend nicht betroffen ist, wird in üblichen Setups eine Veränderung des eigentlichen Webseiten-Inhalts nicht möglich sein.

Betroffene Systeme

Alle TYPO3-Installationen in den folgenden Versionen:
  • 4.3.0 bis 4.3.14
  • 4.4.0 bis 4.4.15
  • 4.5.0 bis 4.5.39
  • 4.6.0 bis 4.6.18
wenn noch folgende Voraussetzungen zutreffen:
  • Zugriffsbeschränkte Frontend Area (frontend login)
  • Extension rsaauth ist geladen
  • Extension rsaauth ist für Frontend Usage konfiguriert

Wenn die Externsion rsaauth nicht konfiguriert ist, ist TYPO3 nicht für diese Lücke anfällig.
TYPO3 in Versionen 4.7.0 und neuer sind nicht betroffen.

Weitere Details sind im Advisory von TYPO3 angeführt.

Abhilfe

Upgrade auf die entsprechend angepassten Versionen
  • 4.5.40
  • 4.7.x
Für Situationen, wo ein Upgrade nicht (einfach) möglich ist, sind im Advisory von TYPO3 noch weitere Möglichkeiten aufgeführt, mit denen dieses Problem gelöst werden kann.

Hinweis

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.
Informationsquelle(n):

Meldung von TYPO3 (Englisch)
http://typo3.org/news/article/authentication-bypass-in-typo3-cms-45/
Email: reports@cert.at
Tel.: +43 1 5056416 78
mehr ...
Schwerwiegende Sicherheitslücken in Microsoft Office Outlook - Updates verfügbar
28. Juli 2017 | Beschreibung Microsoft ...
Neue Variante von Ransomware/Wurm "Petya"
28. Juni 2017 | Seit ...
mehr ...
Ein paar Thesen zu aktuellen Gesetzesentwürfen
31. Juli 2017 | Das Thema ...
In eigener Sache: CERT.at sucht Verstärkung
18. Juli 2017 | Für unser ...
mehr ...
Jahresbericht 2016
Ein Resumee zur digitalen Sicherheitslage in Österreich

(HTML, PDF).
Letzte Änderung: 2015/2/19 - 11:09:07
Haftungsausschluss