Sicherheitslücke in TYPO3

19. Februar 2015

Angesichts der potentiellen Auswirkung der Lücke und der hohen Anzahl an installierten TYPO3 Content Management Systemen bittet CERT.at um Beachtung der folgenden Hinweise.

Beschreibung

TYPO3 Core enthält einen Bug in Zusammenhang mit der 
rsaauth
Komponente, der dazu führen kann, dass sich ein Angreifer ohne gültige Credentials (Username/Passwort) im Frontend Bereich (nicht im Backend) einloggen kann.

CVSS v2.0: AV:N/AC:L/Au:N/C:P/I:P/A:N/E:F/RL:O/RC:C (von typo3.org)

Auswirkungen

Je nachdem, für welche Business-Prozesse die Frontend-Logins verwendet werden, unterscheiden sich auch die Auswirkungen eines Angriffs - dies kann von Informationsabfluss (etwa wenn gewisse Dokumente nur registrierten Kunden zugänglich sein sollen) bis hin zu Eingabe falscher Daten, "Spass"-Bestellungen unter fremden Namen und Preisgabe von Kundendaten (Beispiel Rechnungsdownload) reichen.

Da das TYPO3-Backend nicht betroffen ist, wird in üblichen Setups eine Veränderung des eigentlichen Webseiten-Inhalts nicht möglich sein.

Betroffene Systeme

Alle TYPO3-Installationen in den folgenden Versionen:
  • 4.3.0 bis 4.3.14
  • 4.4.0 bis 4.4.15
  • 4.5.0 bis 4.5.39
  • 4.6.0 bis 4.6.18
wenn noch folgende Voraussetzungen zutreffen:
  • Zugriffsbeschränkte Frontend Area (frontend login)
  • Extension 
    rsaauth
    ist geladen
  • Extension 
    rsaauth
    ist für Frontend Usage konfiguriert

Wenn die Externsion 

rsaauth
nicht konfiguriert ist, ist TYPO3 nicht für diese Lücke anfällig.
TYPO3 in Versionen 4.7.0 und neuer sind nicht betroffen.

Weitere Details sind im Advisory von TYPO3 angeführt.

Abhilfe

Upgrade auf die entsprechend angepassten Versionen
  • 4.5.40
  • 4.7.x
Für Situationen, wo ein Upgrade nicht (einfach) möglich ist, sind im Advisory von TYPO3 noch weitere Möglichkeiten aufgeführt, mit denen dieses Problem gelöst werden kann.

Hinweis

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.
Informationsquelle(n):

Meldung von TYPO3 (Englisch)
http://typo3.org/news/article/authentication-bypass-in-typo3-cms-45/