[Warning] Sicherheitslücke in TYPO3 - Patches verfügbar
Stephan Richter
richter at cert.at
Tue May 24 17:07:01 CEST 2016
24. Mai 2016
Angesichts der potentiellen Auswirkung der Lücke und der hohen Anzahl
an installierten TYPO3 Content Management Systemen bittet CERT.at um
Beachtung der folgenden Hinweise.
Beschreibung
TYPO3 Core enthält einen Bug in der Subkomponente Extbase, der es
einem Angreifer, der Zugriff auf wenigstens ein Extbase Plugin oder
eine Modul-Aktion in einer TYPO3-Installation hat, erlaubt beliebige
Extbase Aktionen mittels eines speziell manipulierten Requests
auszuführen.
CVSS v2 Vector (AV:N/AC:M/Au:N/C:C/I:C/A:C/E:F/RL:OF/RC:C)
CVSS Base Score: 9.3
Impact Subscore: 10
Exploitability Subscore: 8.6
CVSS Temporal Score: 7.7
CVSS Environmental Score: Not Defined
Modified Impact Subscore: 0
Overall CVSS Score: 7.7
Auswirkungen
Mögliche Auswirkungen sind - je nach Art des Angriffs - Information
Disclosure, Remote Code Execution sowie vollständige Kompromittierung
der TYPO3-Installation.
Betroffene Systeme
Alle TYPO3-Installationen der Versionen 4.3.0 bis 8.1.0
Weitere Details sind im Bulletin von TYPO3 angeführt.
Abhilfe
Upgrade auf die entsprechend angepassten Versionen
* 6.2.24
* 7.6.8
* 8.1.1
Für Situationen, wo ein Upgrade nicht (einfach) möglich ist, sind im
Bulletin von TYPO3 noch weitere Möglichkeiten aufgeführt, mit denen
dieses Problem gelöst werden kann.
Für Benutzer von nicht mehr unterstützten TYPO3-Versionen wird ein
Upgrade auf eine Version, die noch mit Updates versorgt wird,
dringend empfohlen.
Hinweis
Generell empfiehlt CERT.at, wo möglich die "automatisches
Update"-Features von Software zu nutzen, für alle Arten von
Browser-Plugins (Flash, Java, ...) auf die
"Click-to-play"-Funktionalitäten von Internet-Browsern
zurückzugreifen, sowie parallel Firewall-Software aktiv und den
Virenschutz aktuell zu halten.
__________________________________________________________________
Informationsquelle(n):
TYPO3 Security Bulletin (Englisch)
https://typo3.org/teams/security/security-bulletins/typo3-core/typo3-core-sa-2016-013/
--
// Stephan Richter <richter at cert.at> - T: +43 1 5056416 78
// CERT Austria - http://www.cert.at/
// Eine Initiative der nic.at GmbH - http://www.nic.at/
// Firmenbuchnummer 172568b, LG Salzburg
-------------- next part --------------
A non-text attachment was scrubbed...
Name: signature.asc
Type: application/pgp-signature
Size: 836 bytes
Desc: OpenPGP digital signature
URL: <http://lists.cert.at/cgi-bin/mailman/private/warning/attachments/20160524/7fc8418b/attachment.sig>
More information about the Warning
mailing list