tobias-hartmann.net - IT Blog

Kritische Sicherheitslücke in älteren Typo3-Versionen

31. März 2015

typo3

Das Security-Team des Content-Management-Systems Typo3 warnt vor einer kritischen Sicherheitslücke im Frontend-Login-Mechanismus älterer Typo3 Versionen. Betroffen ist die Systemerweiterung Rsaauth. Ein schwerer Konfigurationsfehler ermöglicht es Besuchern betroffener Seiten, sich ohne Passwort zu authentifizieren. Ein registrierter Benutzername allein reicht, um sich im System anzumelden. Um die Lücke zu schließen, hat das Typo3-Team bereits ein Update und Patches bereitgestellt. Nutzer können anhand folgender Eckdaten prüfen, ob ihr System von der Sicherheitslücke betroffen sein könnte:

  • Verwendete Typo3 Version 4.3.0 bis 4.3.14, 4.4.0 bis 4.4.15, 4.5.0 bis 4.5.39 sowie 4.6.0 bis 4.6.18.
  • Die Login-Möglichkeit für Besucher der Webseite ist aktiviert
  • Die System-Extension rsaauth ist aktiviert
  • Die Konfiguration von Rsaauth für die Frontend-Benutzung lautet: $GLOBALS[‚TYPO3_CONF_VARS‘][‚FE‘][‚loginSecurityLevel‘] = ‚rsa‘

 

Das Typo3-Team empfiehlt betroffenen Nutzern ein Update auf die eigens dafür entwickelte Version 4.5.40, die auf http://typo3.org/download zur Verfügung steht. Die Sicherheitslücke kann alternativ auch über ein Shell Script und einen Diff Patch geschlossen werden, die ebenfalls auf der Typo3-Seite erhältlich sind. Nicht betroffen von der Sicherheitslücke sind Typo3-Versionen ab 4.7. Nutzer, die die aktuellen Versionszweige 6.x und 7.x verwenden, haben ebenfalls nichts zu befürchten. Seitenbetreiber, die derzeit noch ältere Versionen im Einsatz haben, sollten so bald wie möglich eine neure Version installieren. Eine detaillierte Anleitung zur Installation und Konfiguration von Typo3 findet sich zum Beispiel bei 1&1.

Das Enterprise CMS Typo3 gilt im allgemein als relativ sicher, da Sicherheitslücken in der Regel schnell geschlossen werden. Das Verhalten des Typo3-Teams in Bezug auf die aktuelle Gefahrenlage deutet jedoch darauf hin, dass es sich um einen sogenannten Zero-Day-Exploit handelt – eine gravierende Sicherheitslücke, die schnellstmöglich geschlossen werden musste, da es Angreifern vermutlich schon gelungen war, den Konfigurationsfehler auszunutzen.

Einen weiteren Sicherheitshinweis gab es zur Extension gridelements, die jedoch nicht zum Kern von Typo3 gehört. Dem Entwicklerteam zufolge sei die Erweiterung anfällig für XSS-Attacken, da Benutzereingaben nicht richtig verarbeitet werden. Das Problem lässt sich jedoch durch eine Installation der aktuellen gridelements-Versionen 3.0.1 und 2.1.3 beheben.



Ähnliche Artikel