Sicherheitslücken in Typo3
28. Juli 2010
Angesichts der Schwere der Lücken und der hohen Anzahl an installierten
Typo3 Content-Management-Systemen bittet CERT.at um Beachtung der folgenden
Hinweise.
Informationsquelle(n):
Meldung von Typo3 (Englisch)
http://typo3.org/teams/security/security-bulletins/typo3-sa-2010-012/
Beschreibung
Typo3 enthät Bugs die zu SQL Injection, Arbitrary Code Execution und Cross-Site-Scripting führen können sowie Probleme mit Information Disclosure, unsicheren Zufallszahlen und Authentication/Session Management.SQL Injection
Benutzer, die das Recht haben, Records zu editieren, die eine bestimmte WHERE-Klausel enthalten bzw. das Auto-Suggest-Feature benutzen, können diesen Bug ausnutzen.Arbitrary Code Execution
In gewissen Webserver-Setups ist es für gültige Benutzer möglich, Dateien hochzuladen, die dann als PHP mit den Rechten des Webservers selbst ausgeführt werden.Cross Site Scripting
Für gültige Backend-Benutzer ist es möglich, durch unzureichende Prüfung von Benutzereingaben, XSS-Bugs an mehreren Stellen auszunützen.Information Disclosure, Insecure Randomness und Authentication/Session Management
Details siehe das Advisory von Typo3.org.Auswirkungen
Betroffene Systeme
Alle Typo3-Installationen mit entsprechender Konfiguration bis einschliesslich der Versionen- 4.1.13
- 4.2.12
- 4.3.3
- 4.4
Abhilfe
Upgrade auf die entsprechend angepassten Versionen- 4.1.14
- 4.2.13
- 4.3.4
- 4.4.1
Allgemeiner Hinweis zur Hebung der Systemsicherheit
Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.Informationsquelle(n):
Meldung von Typo3 (Englisch)
http://typo3.org/teams/security/security-bulletins/typo3-sa-2010-012/