TYPO3 Sicherheitsgefahren: XSS-Attacken bei libconnect-Extension und HTTP-GET-Anfragen bei NGINX-Webserver

Aktualisieren Sie Ihre libconnect-Extension auf Version 5.3.2 um Ihren Onlineauftritt vor XSS-Attacken zu schützen. Gleichzeitig sollten Sie den Servertyp überprüfen und sichern.

corinna engel lichtbild

Corinna Engel

Content Marketing Manager

Libconnect-Extension(1) auf Version 5.3.2 updaten

Wie letzte Woche bekannt geworden ist, ist TYPO3 über die Erweiterung „libconnect“ anfällig für mehrere Cross-Site-Scripting-Attacken (XSS-Attacken, 2). Dabei kann ein nicht authentisierter Angreifer mehrere Schwachstellen ausnutzen. Die Bedrohungsstufe wird für die nicht zur Standardinstallation gehörige Erweiterung als mittel eingeschätzt und gilt für alle Versionen ab 5.3.1 und niedriger. Nutzer der Erweiterung für das CMS TYPO3 sind daher angehalten, die dafür neueste Version über den Extension-Manager oder den nachfolgenden Link zu installieren: typo3-extension/libconnect.

TYPO3 auf NGINX-Webservern ebenfalls gefährdet

Gleichzeitig wurde über eine andere Gefährdung gewarnt, die den Einsatz von TYPO3 auf NGINX-Webservern (TYPO3-PSA-2018-002, 3) betrifft. Werden die Zugriffsrechte nicht äußerst strikt gehandhabt, können sensible Informationen hinsichtlich der Konfiguration von TYPO3 über HTTP-GET-Anfragen ausgelesen werden. Die neuesten Richtlinien zur Einstellung Ihres Webservers finden Sie bei den TYPO3 Security Guidelines.

 

Wollen Sie zunächst überprüfen, auf welchem Webserver Ihre Seite läuft, liefert builtwith Ihnen bei der Eingabe Ihrer URL in den meisten Fällen die entsprechende Angabe zusammen mit vielen weiteren nützlichen Informationen zu Ihrem System.

 

Treten unerwartete Probleme auf oder benötigen Sie einen Dienstleister zur Sicherheitsüberwachung Ihres Online-Auftrittes kontaktieren Sie uns unverbindlich.

Support anfragen

 

___

(1) Libconnect-Extension: Diese Erweiterung ermöglicht eine direkte Einbindung von Ergebnissen in das TYPO3-System, welche aus den Informationssystemen EZB und DBIS der Universität Regensburg stammen. Sie wurde von Avonis im Auftrag der Staats- und Universitätsbibliothek Hamburg entwickelt.

(2) XSS-Attacke/ Cross-Site-Scripting-Attacke:Dies ist eine der häufigsten Angriffsmethoden im Internet, die auf Skriptsprachen wie Java basiert und mittels eines webseitenübergreifenden Skriptings an vertrauliche Daten gelangt oder Anwendungen übernimmt. Ausgenutzt wird dabei eine Sicherheitslücke im Client oder Server, durch die der Schadcode in eine vermeintlich vertrauenswürdige Umgebung eingebettet und bei oberflächlicher Prüfung durch die Webanwendung weiterverarbeitet wird.

(3) Nginx-Webserver: Ist ein Webserver-Software, Reverse Proxy und E-Mail Proxy, die von Igor Sysoev entwickelt wurde und derzeit von circa 40 Mio. Websites (etwa ein Fünftel davon in den USA) genutzt wird – Tendenz steigend. Der derzeit am weitesten bekannte Webserver ist Apache.

Quellen:
https://typo3.org/security/advisory/typo3-ext-sa-2018-010/
https://extensions.typo3.org/extension/libconnect/