Open Source im professionellen Einsatz

Typo3: Unsichere Erweiterungen in Typo3

CMS ist ein freies Content-Management-System für Websites, das auf der Skriptsprache PHP basiert und als Datenbank sowohl MySQL als auch MariaDB und PostreSQL unterstützt. Typo3 bietet insgesamt mehr als 5000 Erweiterungen an, die die Funktionalität von Typo3 erheblich erweitern können. Diese Erweiterungen werden über das Extension Repository (TER) bereitgestellt, von dem der Extension-Manager die Erweiterungen herunterladen kann.

Nun stellte sich allerdings heraus, dass dieses Repository für Erweiterungen nicht richtig abgesichert wurde. So konnten Angreifer seit dem 23. August diesen Jahres manipulierte Erweiterungen in das System einschleusen. Das Problem lag in der Authentifizierung für den entsprechenden Server SOAP Web Service auf extensions.typo3.org. Zum Durchführen der Attacke benötigte ein Angreifer lediglich einen gültigen Typo3-Erweiterungsschlüssel, einen Nutzeraccount und ein beliebiges Passwort.

Für die meisten Erweiterung hat das Typo3-Team die SHA-256-Checksummen geprüft, und festgestellt, dass keine Manipulationen vorlagen. Für  56 Erweiterungen konnte dies nicht geprüft werden, so dass diese als unsicher markiert wurden. Unter diesen Erweiterungen befinden sich: advancedtitle, aimeos, aimeos_pay, aip_vimeo, aws_sdk_php, cart_pdf, cl_metatags, cookie_hint, cookie_question, datamints_feuser, div2007, femanager, feusersmap, frp_form_answers, go_maps_ext, hh_ckeditor_custom, ipm_cline, includekrexx, maps2, my_user_management, news, patchem, powermail, px_hybrid_auth, px_semantic, realurl_clearcache2, recordsmanager, skfbalbums, static_info_tables_pt, test_foo, turn, url_redirect, vhs, wfqbe.

Typo3-Anwender, die eine dieser Erweiterungen verwenden, könnten entsprechend von Schadsoftware in ihrem System betroffen sein.

comments powered by Disqus

Ausgabe 10/2017

Digitale Ausgabe: Preis € 6,40
(inkl. 19% MwSt.)

Artikelserien und interessante Workshops aus dem Magazin können Sie hier als Bundle erwerben.