Deutsch | English

Kritische Sicherheitslücke in TYPO3 - Patches verfügbar

24. Mai 2016

Angesichts der potentiellen Auswirkung der Lücke und der hohen Anzahl an installierten TYPO3 Content Management Systemen bittet CERT.at um Beachtung der folgenden Hinweise.

Beschreibung

TYPO3 Core enthält einen Bug in der Subkomponente Extbase, der es einem Angreifer, der Zugriff auf wenigstens ein Extbase Plugin oder eine Modul-Aktion in einer TYPO3-Installation hat, erlaubt beliebige Extbase Aktionen mittels eines speziell manipulierten Requests auszuführen.

CVSS v2 Vector (AV:N/AC:M/Au:N/C:C/I:C/A:C/E:F/RL:OF/RC:C)

CVSS Base Score: 9.3
Impact Subscore: 10
Exploitability Subscore: 8.6
CVSS Temporal Score: 7.7
CVSS Environmental Score: Not Defined
Modified Impact Subscore: 0
Overall CVSS Score: 7.7

Auswirkungen

Mögliche Auswirkungen sind - je nach Art des Angriffs - Information Disclosure, Remote Code Execution sowie vollständige Kompromittierung der TYPO3-Installation.

Betroffene Systeme

Alle TYPO3-Installationen der Versionen 4.3.0 bis 8.1.0

Weitere Details sind im Bulletin von TYPO3 angeführt.

Abhilfe

Upgrade auf die entsprechend angepassten Versionen
  • 6.2.24
  • 7.6.8
  • 8.1.1
Für Situationen, wo ein Upgrade nicht (einfach) möglich ist, sind im Bulletin von TYPO3 noch weitere Möglichkeiten aufgeführt, mit denen dieses Problem gelöst werden kann.

Für Benutzer von nicht mehr unterstützten TYPO3-Versionen wird ein Upgrade auf eine Version, die noch mit Updates versorgt wird, dringend empfohlen.

Hinweis

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, für alle Arten von Browser-Plugins (Flash, Java, ...) auf die "Click-to-play"-Funktionalitäten von Internet-Browsern zurückzugreifen, sowie parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.
Informationsquelle(n):

TYPO3 Security Bulletin (Englisch)
https://typo3.org/teams/security/security-bulletins/typo3-core/typo3-core-sa-2016-013/
Email: reports@cert.at
Tel.: +43 1 5056416 78
mehr ...
Kritische Lücke in verbreiteter Webshop-Software Magento - keine Updates verfügbar
14. April 2017 | Wie ...
Update: Kritische Lücke in Microsoft Office ermöglicht Remote Code Execution - Patches nun verfügbar
10. April 2017 | Update ...
mehr ...
StringBleed ist kein zweites Heartbleed
27. April 2017 | Es wird ...
Wartungsarbeiten Donnerstag, 20. 4. 2017
18. April 2017 | Am Donnerstag ...
mehr ...
Jahresbericht 2016
Ein Resumee zur digitalen Sicherheitslage in Österreich

(HTML, PDF).
Letzte Änderung: 2016/5/24 - 16:49:35
Haftungsausschluss