Deutsch | English

Erneut kritische Schwachstelle in Typo3

10. Februar 2009

Erneut kritische Schwachstelle in Typo3

Angesichts der Schwere der Lücke und der hohen Anzahl an installierten Typo3 Content-Management-Systemen bittet CERT.at um Beachtung der folgenden Hinweise.

Beschreibung

Praktisch alle Versionen von Typo3 enthalten einen Information-Disclosure Fehler, der es Angreifern erlaubt, beliebige Dateien mit den Rechten des Typo3-Users zu lesen - dies betrifft unter Anderem auch die Datei "localconf.php", welche das Passwort des Installations-Tools sowie den Datenbank-Usernamen/-Passwort enthält.

Auswirkungen

Angreifer können alle Dateien mit den Rechten des Typo3-Users lesen, gegegenfalls in diesen Dateien enthaltene Informationen wie Passwörter, sind daher potentiell als kompromittiert zu betrachten.

Mit Hilfe der so erhaltenen Zugangsdaten kann der Angreifer potentiell auch die Kontrolle über die gesamte Typo3-Installation an sich erlangen und entsprechend Daten verändern bzw. zerstören.

Betroffene Systeme

Laut dem Advisory von Typo3 sind folgende Versionen betroffen:
  • 3.3.x
  • 3.5.x
  • 3.6.x
  • 3.7.x
  • 3.8.x
  • 4.0 bis inklusive 4.0.11
  • 4.1.0 bis inklusive 4.1.9
  • 4.2.0 bis inklusive 4.2.5
  • 4.3alpha1

Abhilfe

Upgrade auf aktuelle Versionen:
  • 4.0-Serie: 4.0.12
  • 4.1-Serie: 4.1.10
  • 4.2-Serie: 4.2.6
Patches für ältere Versionen sind zumindest teilweise auch verfügbar.
Informationsquelle(n):

Meldung von Typo3
http://typo3.org/teams/security/security-bulletins/typo3-sa-2009-002/
Email: reports@cert.at
Tel.: +43 1 5056416 78
mehr ...
Sicherheitslücken (teils kritisch) in Juniper ATP, Junos OS und Space OS Software - Patches verfügbar
11. Jänner 2019 | Beschreibung Der ...
Kritische Sicherheitslücken in Adobe Acrobat und Reader - Patches verfügbar
4. Jänner 2019 | Beschreibung Adobe ...
mehr ...
Neue PGP-Keys
13. März 2019 | Nachdem ...
Russland und Artikel in diepresse.com
14. Februar 2019 | Wir ...
mehr ...
Jahresbericht 2017
Ein Resumee zur digitalen Sicherheitslage in Österreich

(HTML, PDF).
Letzte Änderung: 2013/7/17 - 17:00:09
Haftungsausschluss / Datenschutzerklärung