[Warning] Sicherheitslücke in TYPO3 - Patches verfügbar

Stephan Richter richter at cert.at
Tue May 24 17:07:01 CEST 2016


24. Mai 2016

   Angesichts der potentiellen Auswirkung der Lücke und der hohen Anzahl
   an installierten TYPO3 Content Management Systemen bittet CERT.at um
   Beachtung der folgenden Hinweise.

Beschreibung

   TYPO3 Core enthält einen Bug in der Subkomponente Extbase, der es
   einem Angreifer, der Zugriff auf wenigstens ein Extbase Plugin oder
   eine Modul-Aktion in einer TYPO3-Installation hat, erlaubt beliebige
   Extbase Aktionen mittels eines speziell manipulierten Requests
   auszuführen.

   CVSS v2 Vector (AV:N/AC:M/Au:N/C:C/I:C/A:C/E:F/RL:OF/RC:C)

   CVSS Base Score: 9.3
   Impact Subscore: 10
   Exploitability Subscore: 8.6
   CVSS Temporal Score: 7.7
   CVSS Environmental Score: Not Defined
   Modified Impact Subscore: 0
   Overall CVSS Score: 7.7

Auswirkungen

   Mögliche Auswirkungen sind - je nach Art des Angriffs - Information
   Disclosure, Remote Code Execution sowie vollständige Kompromittierung
   der TYPO3-Installation.

Betroffene Systeme

   Alle TYPO3-Installationen der Versionen 4.3.0 bis 8.1.0

   Weitere Details sind im Bulletin von TYPO3 angeführt.

Abhilfe

   Upgrade auf die entsprechend angepassten Versionen
     * 6.2.24
     * 7.6.8
     * 8.1.1

   Für Situationen, wo ein Upgrade nicht (einfach) möglich ist, sind im
   Bulletin von TYPO3 noch weitere Möglichkeiten aufgeführt, mit denen
   dieses Problem gelöst werden kann.

   Für Benutzer von nicht mehr unterstützten TYPO3-Versionen wird ein
   Upgrade auf eine Version, die noch mit Updates versorgt wird,
   dringend empfohlen.

Hinweis

   Generell empfiehlt CERT.at, wo möglich die "automatisches
   Update"-Features von Software zu nutzen, für alle Arten von
   Browser-Plugins (Flash, Java, ...) auf die
   "Click-to-play"-Funktionalitäten von Internet-Browsern
   zurückzugreifen, sowie parallel Firewall-Software aktiv und den
   Virenschutz aktuell zu halten.
   __________________________________________________________________

   Informationsquelle(n):
   TYPO3 Security Bulletin (Englisch)

https://typo3.org/teams/security/security-bulletins/typo3-core/typo3-core-sa-2016-013/


-- 
// Stephan Richter <richter at cert.at> - T: +43 1 5056416 78
// CERT Austria - http://www.cert.at/
// Eine Initiative der nic.at GmbH - http://www.nic.at/
// Firmenbuchnummer 172568b, LG Salzburg

-------------- next part --------------
A non-text attachment was scrubbed...
Name: signature.asc
Type: application/pgp-signature
Size: 836 bytes
Desc: OpenPGP digital signature
URL: <http://lists.cert.at/cgi-bin/mailman/private/warning/attachments/20160524/7fc8418b/attachment.sig>


More information about the Warning mailing list