Schwachstellen in TYPO3 und Extension erkannt – Updates verfügbar

Kürzlich wurden neue Sicherheitsmängel im Zusammenhang mit dem TYPO3-CMS veröffentlicht. Hier erhalten Sie eine Zusammenfassung. Updates werden empfohlen.

Auf typo3.org berichtete vor kurzem die aktiv in der Fehlerbehebung eingebundene Community, dass verschiedene Schwachstellen die Sicherheit von TYPO3 und dessen Nutzern gefährden. Für einen Überblick fassen wir alle wichtigen Informationen für Sie kurz zusammenfassen und verweisen auf die vom TYPO3-Core-Team veröffentlichten Updates zur Wiederherstellung der Sicherheit Ihrer Webpräsenzen :

TYPO3-EXT-SA-2019-014      

phpMyAdmin-Erweiterung weist an mehreren Stellen schwerwiegende Sicherheitslücken auf. So können neben einer SQL-Injection ebenfalls beliebige Dateien ausgelesen werden. Betroffen sind alle Versionen der Erweiterung absteigend von Version 5.2.6, für die jedoch schon ein Update mit Version 5.3.0 zur Verfügung steht. Dieses sollte über den Link (https://typo3.org/extensions/repository/download/phpmyadmin/5.3.0/zip/) schnellstmöglich aktualisiert werden.

TYPO3-CORE-SA-2019-014

Im Backend-Benutzerinterface können unfreiwillig Informationen zugänglich sein. Es handelt sich hierbei um eine mittelschwere Bedrohung für die TYPO3-Versionen 8.0.0 bis 8.7.26 sowie die TYPO3-Versionen 9.0.0 bis 9.5.7. Informationen sind für Angreifer jedoch nur zugänglich, sofern er über einen rechtmäßigen Backend-Benutzeraccount verfügt. Die Updates 8.7.27 und 9.5.8 stehen zur Problembehebung zum Download zur Verfügung.

TYPO3-CORE-SA-2019-015

TYPO3 ist über XSS-Attacken angreifbar beim Link Handling. Die TYPO3-Versionen 8.3.0 bis 8.7.26 sowie 9.0.0 und 9.5.7 sind mittelschweren Cross-Site-Scripting-Attacken ausgesetzt. Da nicht nur normale Backend-Formulare, sondern auch Extensions für das Frontend bei der Link-Bearbeitung betroffen sind, wird empfohlen, auf die Versionen 8.7.27 respektive 9.5.8 zu aktualisieren.

TYPO3-CORE-SA-2019-016

Durch die Drittanbieter-Komponente symfony/cache können potentiell Insecure-Deserialization-Angriffe durchgeführt oder beliebige Dateien entfernt werden. Die mittelschwere Bedrohung entsteht für die TYPO3-Versionen 9.4.0 bis 9.5.7 und kann mit dem Update auf Version 9.5.8 behoben werden.

TYPO3-CORE-SA-2019-017

Im Import-Modul taucht ein Problem mit der Zugangskontrolle durch die sogenannte „Broken Access Control“ auf. Durch die Schwachstelle haben reguläre Backend-Benutzer Zugang zur Importfunktion, die normalerweise nur Administratoren oder speziell berechtigten Nutzern verfügbar ist. Sensible Datenbank-Inhalte sind jedoch weiterhin geschützt und nur rechtmäßige Backend-Nutzer-Accounts können die Schwachstelle ausnutzen. Da der Bedrohungsstatus jedoch als hoch eingestuft wurde, sollten alle Nutzer der Versionen 9.3.0 bis 9.5.7 auf die aktuelle TYPO3-Version 9.5.8 zur Behebung des Problems aktualisieren.

TYPO3-CORE-SA-2019-018

Eine Sicherheits-Misconfiguration kann während einer Session im Frontend auftreten. Bei der als gering eingestuften Bedrohung können Nutzer derselben Client-Application auf Daten aus vorherigen Sessions zugreifen. Trotz richtiger Authentifizierung und richtigem Frontend-Login können Sessions-Daten nach dem Logout als anonyme Nutzerdaten gespeichert und für nachfolgende Nutzer desselben Clients zugänglich sein. Von diesem Fehler sind die TYPO3-Versionen 8.5.0 bis einschließlich 8.7.26 sowie 9.0.0 bis 9.5.7 betroffen und sollten auf 8.7.27 oder 9.5.8 entsprechend aktualisiert werden.

TYPO3-CORE-SA-2019-019

Es handelt sich hier um eine mittlere Bedrohung, bei der über die Backend-API (Schnittstelle) beliebiger Code ausgeführt oder XSS-Attacken durchgeführt werden können. Die verwendeten TSconfig-Felder nutzen die Angreifer dabei zum Einspielen bösartiger Sequenzen, wobei sie einen aktiven Backend-Benutzeraccount benötigen, welcher zudem Zugriff auf die Veränderung der Felder pages.TSconfig und pages.tsconfig_includes hat. Ein Update auf die Versionen 8.7.27 und 9.5.8 behebt das Problem, wobei zugleich die Zugriffsberechtigungen auf die TSconfig-Parameter auf Administratoren eingeschränkt werden.

TYPO3-CORE-SA-2019-020

Das CMS TYPO3 ist anfällig für eine Insecure Deserialization, was eine schwerwiegende Bedrohungsstufe darstellt und daher ist eine Aktualisierung auf TYPO3-Version 8.7.27 beziehungsweise 9.5.8 umgehend empfohlen. Die betroffenen Komponenten sind die FormEngine und der DataHandler der Versionen 8.0.0 bis 8.7.26 und 9.0.0 bis 9.5.7, wobei ein zusätzlicher aktiver Backend-Nutzeraccount zur Ausnutzung der Schwachstelle benötigt wird.

 

Um die Aktualität und Sicherheit Ihres Content-Management-Systems zu gewährleisten, sollten Sie als Nutzer von TYPO3 die neueste Version 8.7.27 respektive die Version 9.5.8 installieren, um Ihre Website und deren Nutzer vor den oben angesprochenen Bedrohungen ausreichend zu schützen. Die entsprechenden Downloads und zusätzliche Informationen erhalten Sie auf den Seiten unter typo3.org.

 

Schaffen Sie es zeitlich nicht mehr, die Überwachung und den Betrieb Ihrer Online-Präsenz selbst zu übernehmen, können Sie die Aufgabe auch unseren IT-Profis überlassen. Kontaktieren Sie einfach unser Support-Team für ein unverbindliches Service-Angebot.

Unverbindlich Support-Angebot anfragen

 

Quelle: typo3.org