[Warning] Sicherheitslücke in TYPO3
Robert Waldner
waldner at cert.at
Thu Feb 19 11:18:29 CET 2015
19. Februar 2015
Angesichts der potentiellen Auswirkung der Lücke und der hohen Anzahl
an installierten TYPO3 Content Management Systemen bittet CERT.at um
Beachtung der folgenden Hinweise.
Beschreibung
TYPO3 Core enthält einen Bug in Zusammenhang mit der 'rsaauth'
Komponente, der dazu führen kann, dass sich ein Angreifer ohne
gültige Credentials (Username/Passwort) im Frontend Bereich (nicht
im Backend) einloggen kann.
CVSS v2.0: AV:N/AC:L/Au:N/C:P/I:P/A:N/E:F/RL:O/RC:C (von typo3.org)
Auswirkungen
Je nachdem, für welche Business-Prozesse die Frontend-Logins
verwendet werden, unterscheiden sich auch die Auswirkungen eines
Angriffs - dies kann von Informationsabfluss (etwa wenn gewisse
Dokumente nur registrierten Kunden zugänglich sein sollen) bis hin
zu Eingabe falscher Daten, "Spass"-Bestellungen unter fremden Namen
und Preisgabe von Kundendaten (Beispiel Rechnungsdownload) reichen.
Da das TYPO3-Backend nicht betroffen ist, wird in üblichen Setups
eine Veränderung des eigentlichen Webseiten-Inhalts nicht möglich
sein.
Betroffene Systeme
Alle TYPO3-Installationen in den folgenden Versionen:
* 4.3.0 bis 4.3.14
* 4.4.0 bis 4.4.15
* 4.5.0 bis 4.5.39
* 4.6.0 bis 4.6.18
_wenn_ noch folgende Voraussetzungen zutreffen:
* Zugriffsbeschränkte Frontend Area (frontend login)
* Extension 'rsaauth' ist geladen
* Extension 'rsaauth' ist für Frontend Usage konfiguriert
Wenn die Externsion 'rsaauth' nicht konfiguriert ist, ist TYPO3
nicht für diese Lücke anfällig.
TYPO3 in Versionen 4.7.0 und neuer sind nicht betroffen.
Weitere Details sind im [1]Advisory von TYPO3 angeführt.
Abhilfe
Upgrade auf die entsprechend angepassten Versionen
* 4.5.40
* 4.7.x
Für Situationen, wo ein Upgrade nicht (einfach) möglich ist, sind im
Advisory von TYPO3 noch weitere Möglichkeiten aufgeführt, mit denen
dieses Problem gelöst werden kann.
Hinweis
Generell empfiehlt CERT.at, wo möglich die "automatisches
Update"-Features von Software zu nutzen, parallel Firewall-Software
aktiv und den Virenschutz aktuell zu halten.
__________________________________________________________________
Informationsquelle(n):
Meldung von TYPO3 (Englisch)
http://typo3.org/news/article/authentication-bypass-in-typo3-cms-45/
--
// CERT Austria - Robert Waldner <waldner at cert.at>
// http://www.cert.at/ - T: +43 1 5056416 78
// Eine Initiative der nic.at GmbH
// http://www.nic.at/ - Firmenbuchnummer 172568b, LG Salzburg
-------------- next part --------------
A non-text attachment was scrubbed...
Name: signature.asc
Type: application/pgp-signature
Size: 819 bytes
Desc: OpenPGP digital signature
URL: <http://lists.cert.at/cgi-bin/mailman/private/warning/attachments/20150219/34f495eb/attachment.sig>
More information about the Warning
mailing list