Deutsch | English

Kritische Sicherheitslücken im Content-Management-System Typo3

23. Jänner 2009

Kritische Sicherheitslücken in Typo3

Angesichts der Schwere der Lücken und der hohen Anzahl an installierten Typo3 Content-Management-Systemen bittet CERT.at um Beachtung der folgenden Hinweise.

Beschreibung

Versionen von Typo - 4.0.0 bis 4.0.9, 4.1.0 bis 4.1.7, 4.2.0 bis 4.2.3 - enthalten Bugs im Bereich Authentication and Session Management, sowie Probleme mit Cross-Site-Scripting, ungenügende Zufallszahlengenerierung und Remote Command Execution. Besonders das letztere Problem ist besonders schwerwiegend, da es einem Angreifer erlaubt, beliebige System-Kommandos auf betroffenen Systemen auszuführen, meist mit den Rechten des Webserver- bzw. Typo3-Benutzeraccounts.

Auswirkungen

Da der Angreifer dadurch beliebigen Code auf betroffenen Systemen ausführen kann, sind alle Daten auf diesen Systemen, sowie potentiell alle durch diese erreichbaren (etwa durch Login, VPN etc.) Daten und anderen Systeme gefährdet.

Betroffene Systeme

Laut dem Advisory von Typo3 sind folgende Versionen betroffen:
  • 4.0.0 bis 4.0.9
  • 4.1.0 bis 4.1.7
  • 4.2.0 bis 4.2.3

Abhilfe

Upgrade auf aktuelle Versionen:
  • 4.0-Serie: 4.0.10
  • 4.1-Serie: 4.1.8
  • 4.2-Serie: 4.2.4

Informationsquelle(n):

Meldung von Typo3 (auf Englisch)
http://typo3.org/teams/security/security-bulletins/typo3-sa-2009-001/
Meldung bei TecChannel.de
http://www.tecchannel.de/sicherheit/news/1782988/hoch_kritische_schwachstellen_in_typo3_ausgebessert/
Email: reports@cert.at
Tel.: +43 1 5056416 78
mehr ...
Kritische Schwachstelle in bzip2 - je nach Setup für RCE ausnutzbar
24. Juni 2019 | Beschreibung In ...
Kritische RCE Schwachstelle in Oracle WebLogic Server
19. Juni 2019 | Beschreibung | Mehrere ...
mehr ...
Remote Desktop Services. Mal wieder.
14. August 2019 | Ich ...
BlueKeep, mal wieder
25. Juli 2019 | Das "Schöne" ...
mehr ...
Jahresbericht 2017
Ein Resumee zur digitalen Sicherheitslage in Österreich

(HTML, PDF).
Letzte Änderung: 2013/7/17 - 17:00:07
Haftungsausschluss / Datenschutzerklärung