[Warning] Sicherheitslücke in TYPO3

Robert Waldner waldner at cert.at
Thu Feb 19 11:18:29 CET 2015 

19. Februar 2015

   Angesichts der potentiellen Auswirkung der Lücke und der hohen Anzahl
   an installierten TYPO3 Content Management Systemen bittet CERT.at um
   Beachtung der folgenden Hinweise.

Beschreibung

   TYPO3 Core enthält einen Bug in Zusammenhang mit der 'rsaauth'
   Komponente, der dazu führen kann, dass sich ein Angreifer ohne
   gültige Credentials (Username/Passwort) im Frontend Bereich (nicht
   im Backend) einloggen kann.

   CVSS v2.0: AV:N/AC:L/Au:N/C:P/I:P/A:N/E:F/RL:O/RC:C (von typo3.org)

Auswirkungen

   Je nachdem, für welche Business-Prozesse die Frontend-Logins
   verwendet werden, unterscheiden sich auch die Auswirkungen eines
   Angriffs - dies kann von Informationsabfluss (etwa wenn gewisse
   Dokumente nur registrierten Kunden zugänglich sein sollen) bis hin
   zu Eingabe falscher Daten, "Spass"-Bestellungen unter fremden Namen
   und Preisgabe von Kundendaten (Beispiel Rechnungsdownload) reichen.

   Da das TYPO3-Backend nicht betroffen ist, wird in üblichen Setups
   eine Veränderung des eigentlichen Webseiten-Inhalts nicht möglich
   sein.

Betroffene Systeme

   Alle TYPO3-Installationen in den folgenden Versionen:
     * 4.3.0 bis 4.3.14
     * 4.4.0 bis 4.4.15
     * 4.5.0 bis 4.5.39
     * 4.6.0 bis 4.6.18

   _wenn_ noch folgende Voraussetzungen zutreffen:
     * Zugriffsbeschränkte Frontend Area (frontend login)
     * Extension 'rsaauth' ist geladen
     * Extension 'rsaauth' ist für Frontend Usage konfiguriert

   Wenn die Externsion 'rsaauth' nicht konfiguriert ist, ist TYPO3
   nicht für diese Lücke anfällig.
   TYPO3 in Versionen 4.7.0 und neuer sind nicht betroffen.

   Weitere Details sind im [1]Advisory von TYPO3 angeführt.

Abhilfe

   Upgrade auf die entsprechend angepassten Versionen
     * 4.5.40
     * 4.7.x

   Für Situationen, wo ein Upgrade nicht (einfach) möglich ist, sind im
   Advisory von TYPO3 noch weitere Möglichkeiten aufgeführt, mit denen
   dieses Problem gelöst werden kann.

Hinweis

   Generell empfiehlt CERT.at, wo möglich die "automatisches
   Update"-Features von Software zu nutzen, parallel Firewall-Software
   aktiv und den Virenschutz aktuell zu halten.
     __________________________________________________________________

   Informationsquelle(n):
   Meldung von TYPO3 (Englisch)
   http://typo3.org/news/article/authentication-bypass-in-typo3-cms-45/


-- 
// CERT Austria - Robert Waldner <waldner at cert.at>
// http://www.cert.at/ - T: +43 1 5056416 78
// Eine Initiative der nic.at GmbH
// http://www.nic.at/ - Firmenbuchnummer 172568b, LG Salzburg

-------------- next part --------------
A non-text attachment was scrubbed...
Name: signature.asc
Type: application/pgp-signature
Size: 819 bytes
Desc: OpenPGP digital signature
URL: <http://lists.cert.at/cgi-bin/mailman/private/warning/attachments/20150219/34f495eb/attachment.sig>

More information about the Warning mailing list