Kritische Sicherheitslücken im Content-Management-System Typo3
23. Jänner 2009
Kritische Sicherheitslücken in Typo3
Angesichts der Schwere der Lücken und der hohen Anzahl an installierten
Typo3 Content-Management-Systemen bittet CERT.at um Beachtung der folgenden
Hinweise.
Informationsquelle(n):
Meldung von Typo3 (auf Englisch)
http://typo3.org/teams/security/security-bulletins/typo3-sa-2009-001/
Meldung bei TecChannel.de
http://www.tecchannel.de/sicherheit/news/1782988/hoch_kritische_schwachstellen_in_typo3_ausgebessert/
Beschreibung
Versionen von Typo - 4.0.0 bis 4.0.9, 4.1.0 bis 4.1.7, 4.2.0 bis 4.2.3 - enthalten Bugs im Bereich Authentication and Session Management, sowie Probleme mit Cross-Site-Scripting, ungenügende Zufallszahlengenerierung und Remote Command Execution. Besonders das letztere Problem ist besonders schwerwiegend, da es einem Angreifer erlaubt, beliebige System-Kommandos auf betroffenen Systemen auszuführen, meist mit den Rechten des Webserver- bzw. Typo3-Benutzeraccounts.Auswirkungen
Da der Angreifer dadurch beliebigen Code auf betroffenen Systemen ausführen kann, sind alle Daten auf diesen Systemen, sowie potentiell alle durch diese erreichbaren (etwa durch Login, VPN etc.) Daten und anderen Systeme gefährdet.Betroffene Systeme
Laut dem Advisory von Typo3 sind folgende Versionen betroffen:- 4.0.0 bis 4.0.9
- 4.1.0 bis 4.1.7
- 4.2.0 bis 4.2.3
Abhilfe
Upgrade auf aktuelle Versionen:- 4.0-Serie: 4.0.10
- 4.1-Serie: 4.1.8
- 4.2-Serie: 4.2.4
Informationsquelle(n):
Meldung von Typo3 (auf Englisch)
http://typo3.org/teams/security/security-bulletins/typo3-sa-2009-001/
Meldung bei TecChannel.de
http://www.tecchannel.de/sicherheit/news/1782988/hoch_kritische_schwachstellen_in_typo3_ausgebessert/