Neue Typo3-Versionen verfügbar

Die Typo3-Entwicker haben die Versionen 4.3.1 und 4.2.11 ihrer quelloffenen CMS-Software veröffentlicht, die zahlreiche Fehler korrigieren. In Version 4.3.1 haben die Entwickler zudem eine Sicherheitslücke in der OpenID -Erweiterung geschlossen, die in Standard-Installationen jedoch deaktiviert ist.

Durch die Lücke kann ein Angreifer die Authentifizierung austricksen und sich mit den Rechten eines anderen  Nutzers am CMS anmelden, indem er eine andere Identität vortäuscht. Dazu müssen allerdings einige Randbedingungen erfüllt sein. So muss das Opfer eine OpenID besitzen, der Angreifer laut Bericht vom gleichen Provider wie das Opfer eine OpenID erhalten haben und dessen OpenID kennen. Außerdem muss der Provider bei der Authentifizerung zuerst angegebene IDs verwerfen können und die Angabe einer alternativen Identität erlauben.

Wie leicht sich diese Kriterien erfüllen lassen, müssten Tests zeigen. Mindestens ein OpenID-Provider soll nach Angaben der Entwickler jedoch dieses Verhalten aufweisen. Die Entwickler stufen das Risiko der Lücke daher als hoch ein und empfehlen Anwendern, deren CMS OpenID verwendet, zum Update.

Siehe dazu auch:

• Authentication Bypass in TYPO3 Core