Sicherheitslücken in Typo3

24. Februar 2010

Angesichts der Schwere der Lücken und der hohen Anzahl an installierten Typo3 Content-Management-Systemen bittet CERT.at um Beachtung der folgenden Hinweise.

Beschreibung

Typo3 enthät Bugs im Bereich Authentication, sowie Probleme mit Cross-Site-Scripting und Information Disclosure.

Information Disclosure

Wenn ein neuer Backend-User angelegt wird, kann der ausführende Benutzer alle persönlichen Daten aller existierenden Backend-User (ausser Passwörtern) auslesen.

Cross-Site-Scripting via Backend

Benutzer mit gültigem Backend-Account können aufgrund mangelhafter Prüfung von Usereingaben Cross-Site-Scripting an mehreren Stellen auslösen

Cross-Site-Scripting via Frontend

Wird Typo3 unter PHP als CGI betrieben, kann unter Umständen durch Übergabe eines URL-Parameters ein Fehler ausgelöst werden und dadurch beliebiges HTML angezeigt werden.

Authentication Bypass

Wir in Typo3 in Version 4.3.x die Erweiterung "saltedpasswords" verwendet, ist es unter Ümständen möglich, ohne Kenntnis des tatsächlichen Passworts, nur mit dem Salted/Hashed Passwort, gegen das System zu authentisieren.
Diese Erweiterung ist per Default allerdings nicht aktiv.

Auswirkungen

Vor allem das Problem mit Cross-Site-Scripting via Frontend wird wohl bald für Defacements ausgenützt werden.
Weitere Details können dem Advisory von Typo3 entnommen werden.

Betroffene Systeme

Alle Typo3-Versionen mit entsprechender Konfiguration vor Version 4.2.12 bzw. 4.3.2.

Abhilfe

Upgrade auf aktuelle Version 4.2.12 bzw. 4.3.2.

Hinweis

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.

Informationsquelle(n):

Meldung von Typo3 (auf Englisch)
http://typo3.org/teams/security/security-bulletins/typo3-sa-2010-004/