Insecure Deserialisation als Sicherheitslücke für TYPO3 erkannt

Das bekannte CMS TYPO3 ist durch das Form-Framework unter bestimmten Voraussetzungen anfällig für die „Unsicheren Deserialisierungen“.

corinna engel lichtbild

Corinna Engel

Content Marketing Manager

Die TYPO3- Systemerweiterung „form“ kann leicht von dem genannten Sicherheitsproblem betroffen sein, wenn es in Verbindung mit dem PHP-PECL-Paket „yaml“ verwendet wird. Dieses ist in der Lage, YAML-Inhalte in PHP-Objekte zu dechiffrieren. Um die Sicherheitslücke schließlich ausnutzen zu können muss die Einstellung bei PHP „yaml.decode_php“ eingeschaltet sein und es ist zudem ein aktiver Backend-Benutzeraccount notwendig.

Update auf 8.7.17 oder 9.3.1 als Lösung

Als einfachste Lösung wird auf der offiziellen TYPO3-Website empfohlen, die genannte Einstellung zu deaktivieren, sollte das PHP-PECL-Paket „yaml“ installiert sein. Andernfalls kann ebenso auf die Versionen 8.7.17 oder 9.3.1 von TYPO3 umgestiegen werden, die das beschriebene Problem ebenfalls lösen.

 

Soll Ihr System auf Fehler untersucht werden oder möchten Sie langfristig auf derartige Fehlermeldungen verzichten, können wir uns gerne um die Wartung Ihres Systems kümmern.

Jetzt Support anfragen