zurück zum Artikel

Typo3: Kritische Sicherheitslücke in älteren CMS-Versionen entdeckt

Eine Sicherheitslücke soll den Frontend-Login in ältere Versionen von Typo3 allein durch die Eingabe eines registrierten Benutzernamens ermöglichen. Ein Passwort werde nicht benötigt.

Vor einer als kritisch eingestuften Sicherheitslücke warnen die Entwickler [1] des Content Management Systems (CMS) Typo3 eindringlich auf ihrer Homepage. Bei älteren Versionen sei es möglich, sich durch das alleinige Eingeben eines registrierten Benutzernamens über das Frontend einzuloggen. Ein Passwort werde bei den betroffenen Versionen nicht benötigt.

Die Sicherheitslücke betrifft folgende Typo3-Versionen: 4.3.0 bis 4.3.14, 4.4.0 bis 4.4.15, 4.5.0 bis 4.5.39 und 4.6.0 bis 4.6.18. Der Fehler trete aber nur dann auf, wenn bei den genannten Versionen die Systemerweiterung Rsaauth aktiviert und wie folgt konfiguriert wurde:

$GLOBALS['TYPO3_CONF_VARS']['FE']['loginSecurityLevel'] = 'rsa'

Der Entwickler empfiehlt zur Lösung ein Update auf Version 4.5.40. Alternativ können Nutzer die Sicherheitslücke durch das Patchen wahlweise per Shell Script [2] oder diff [3] schließen. Nutzer aktuellerer Typo3-Versionen ab 4.7.0, die bereits vor drei Jahren veröffentlicht wurde [4], sind von der Sicherheitslücke nicht betroffen. (mre [5])


URL dieses Artikels:
http://www.heise.de/-2556800

Links in diesem Artikel:
[1] https://typo3.org/teams/security/security-bulletins/typo3-core/typo3-core-sa-2015-001/
[2] https://typo3.org/fileadmin/security-team/bug65113/fix_65113.sh
[3] https://git.typo3.org/Packages/TYPO3.CMS.git/commitdiff_plain/3fbd91c58baf98bdd8988333d90294cc6dc8f0c7
[4] http://typo3.org/news/article/typo3-470-released/
[5] mailto:mre@heise.de