Kritische Sicherheitslücke in TYPO3 - Patches verfügbar

24. Mai 2016

Angesichts der potentiellen Auswirkung der Lücke und der hohen Anzahl an installierten TYPO3 Content Management Systemen bittet CERT.at um Beachtung der folgenden Hinweise.

Beschreibung

TYPO3 Core enthält einen Bug in der Subkomponente Extbase, der es einem Angreifer, der Zugriff auf wenigstens ein Extbase Plugin oder eine Modul-Aktion in einer TYPO3-Installation hat, erlaubt beliebige Extbase Aktionen mittels eines speziell manipulierten Requests auszuführen.

CVSS v2 Vector (AV:N/AC:M/Au:N/C:C/I:C/A:C/E:F/RL:OF/RC:C)

CVSS Base Score: 9.3
Impact Subscore: 10
Exploitability Subscore: 8.6
CVSS Temporal Score: 7.7
CVSS Environmental Score: Not Defined
Modified Impact Subscore: 0
Overall CVSS Score: 7.7

Auswirkungen

Mögliche Auswirkungen sind - je nach Art des Angriffs - Information Disclosure, Remote Code Execution sowie vollständige Kompromittierung der TYPO3-Installation.

Betroffene Systeme

Alle TYPO3-Installationen der Versionen 4.3.0 bis 8.1.0

Weitere Details sind im Bulletin von TYPO3 angeführt.

Abhilfe

Upgrade auf die entsprechend angepassten Versionen
  • 6.2.24
  • 7.6.8
  • 8.1.1
Für Situationen, wo ein Upgrade nicht (einfach) möglich ist, sind im Bulletin von TYPO3 noch weitere Möglichkeiten aufgeführt, mit denen dieses Problem gelöst werden kann.

Für Benutzer von nicht mehr unterstützten TYPO3-Versionen wird ein Upgrade auf eine Version, die noch mit Updates versorgt wird, dringend empfohlen.

Hinweis

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, für alle Arten von Browser-Plugins (Flash, Java, ...) auf die "Click-to-play"-Funktionalitäten von Internet-Browsern zurückzugreifen, sowie parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.
Informationsquelle(n):

TYPO3 Security Bulletin (Englisch)
https://typo3.org/teams/security/security-bulletins/typo3-core/typo3-core-sa-2016-013/