[Warning] Kritische Sicherheitslücken in Typo3
Robert Waldner
waldner at cert.at
Fri Jan 23 14:12:50 CET 2009
Kritische Schwachstellen in Typo3
23. Jänner 2009
Kritische Sicherheitslücken in Typo3
Angesichts der Schwere der Lücken und der hohen Anzahl an installierten
Typo3 Content-Management-Systemen bittet CERT.at um Beachtung der folgenden
Hinweise.
Beschreibung
Versionen von Typo - 4.0.0 bis 4.0.9, 4.1.0 bis 4.1.7, 4.2.0 bis
4.2.3 - enthalten Bugs im Bereich Authentication and Session
Management, sowie Probleme mit Cross-Site-Scripting, ungenügende
Zufallszahlengenerierung und Remote Command Execution.
Besonders das letztere Problem ist besonders schwerwiegend, da es einem
Angreifer erlaubt, beliebige System-Kommandos auf betroffenen Systemen
auszuführen, meist mit den Rechten des Webserver- bzw.
Typo3-Benutzeraccounts.
Auswirkungen
Da der Angreifer dadurch beliebigen Code auf betroffenen Systemen
ausführen kann, sind alle Daten auf diesen Systemen, sowie potentiell
alle durch diese erreichbaren (etwa durch Login, VPN etc.) Daten und
anderen Systeme gefährdet.
Betroffene Systeme
Laut dem Advisory von Typo3 sind folgende Versionen betroffen:
- 4.0.0 bis 4.0.9
- 4.1.0 bis 4.1.7
- 4.2.0 bis 4.2.3
Abhilfe
Upgrade auf aktuelle Versionen:
- 4.0-Serie: 4.0.10
- 4.1-Serie: 4.1.8
- 4.2-Serie: 4.2.4
__________________________________________________________________
Informationsquellen:
* Meldung von Typo3:
http://typo3.org/teams/security/security-bulletins/typo3-sa-2009-001/
* Meldung bei TecChannel.de:
http://www.tecchannel.de/sicherheit/news/1782988/hoch_kritische_schwachstellen_in_typo3_ausgebessert/
mfg,
Robert Waldner
--
/ Robert Waldner | <waldner at cert.at> \
\ T: +43 1 5056416 | http://www.cert.at/ /
-------------- next part --------------
A non-text attachment was scrubbed...
Name: signature.asc
Type: application/pgp-signature
Size: 197 bytes
Desc: This is a digitally signed message part.
URL: <http://lists.cert.at/pipermail/warning/attachments/20090123/30193c40/attachment.sig>
More information about the Warning
mailing list