[Warning] Erneut kritische Schwachstelle in Typo3
Robert Waldner
waldner at cert.at
Tue Feb 10 12:14:40 CET 2009
Erneut kritische Schwachstelle in Typo3
10. Februar 2009
Angesichts der Schwere der Lücke und der hohen Anzahl an
installierten Typo3 Content-Management-Systemen bittet CERT.at
um Beachtung der folgenden Hinweise.
Beschreibung
Praktisch alle Versionen von Typo3 enthalten einen
Information-Disclosure Fehler, der es Angreifern erlaubt, beliebige
Dateien mit den Rechten des Typo3-Users zu lesen - dies betrifft
unter Anderem auch die Datei "localconf.php", welche das Passwort des
Installations-Tools sowie den Datenbank-Usernamen/-Passwort enthält.
Auswirkungen
Angreifer können alle Dateien mit den Rechten des Typo3-Users lesen,
gegegenfalls in diesen Dateien enthaltene Informationen wie
Passwörter, sind daher potentiell als kompromittiert zu betrachten.
Mit Hilfe der so erhaltenen Zugangsdaten kann der Angreifer
potentiell auch die Kontrolle über die gesamte Typo3-Installation
an sich erlangen und entsprechend Daten verändern bzw. zerstören.
Betroffene Systeme
Laut dem Advisory von Typo3 sind folgende Versionen betroffen:
- 3.3.x
- 3.5.x
- 3.6.x
- 3.7.x
- 3.8.x
- 4.0 bis inklusive 4.0.11
- 4.1.0 bis inklusive 4.1.9
- 4.2.0 bis inklusive 4.2.5
- 4.3alpha1
Abhilfe
Upgrade auf aktuelle Versionen:
- 4.0-Serie: 4.0.12
- 4.1-Serie: 4.1.10
- 4.2-Serie: 4.2.6
Patches für ältere Versionen sind zumindest teilweise auch verfügbar.
__________________________________________________________________
Informationsquellen:
* Meldung von Typo3:
http://typo3.org/teams/security/security-bulletins/typo3-sa-2009-002/
mfg,
Robert Waldner
--
/ Robert Waldner | <waldner at cert.at> \
\ T: +43 1 5056416 | http://www.cert.at/ /
-------------- next part --------------
A non-text attachment was scrubbed...
Name: signature.asc
Type: application/pgp-signature
Size: 260 bytes
Desc: OpenPGP digital signature
URL: <http://lists.cert.at/pipermail/warning/attachments/20090210/87b34fd7/attachment.sig>
More information about the Warning
mailing list