DFN-CERT-2016-0829 TYPO3: Eine Schwachstelle ermöglicht die Kompromittierung des Systems [Linux][Unix][Solaris][Windows]

DFN-CERT-2016-0829 TYPO3: Eine Schwachstelle ermöglicht die Kompromittierung des Systems [Linux][Unix][Solaris][Windows]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

TYPO3 >= 4.3.0
TYPO3 <= 8.1.0 Betroffene Plattformen: TYPO3 Ein entfernter, nicht authentifizierter Angreifer kann die Schwachstelle zur Ausführung beliebiger Befehle ausnutzen und damit das TYPO3-System komplett kompromittieren. TYPO3 stellt die Versionen 6.2.24, 7.6.8 und 8.1.1 als Sicherheitsupdates zur Behebung der Schwachstelle bereit und empfiehlt aufgrund der Kritikalität der Schwachstelle allen Nutzern der Versionen 4.3.0 bis 8.1.0 eine zügige Installation der Sicherheitsupdates. TYPO3-Installationen, die wenigsten eine öffentlich verfügbare Extbase Aktion bereitstellen, sind ohne weitere Authentifikation angreifbar. TYPO3-Installationen, die solche Aktionen nicht anbieten, sind durch authentifizierte Backend-Benutzer, welche Zugriff auf Backend-Module haben, die auf Extbase basieren, angreifbar. Patch: TYPO3 Security Bulletin TYPO3-CORE-SA-2016-013 https://typo3.org/teams/security/security-bulletins/typo3-core/typo3-core-sa-2016-013/

TYPO3-CORE-SA-2016-013: Schwachstelle in TYPO3 ermöglicht Ausführung
beliebigen Programmcodes

Eine Schwachstelle in TYPO3 von Version 4.3.0 bis einschließlich 8.1.0
basiert auf einer unzureichenden Zugriffsprüfung für Extbase Aktionen für
angefragte Controller/Action-Kombinationen. Ein Angreifer, der Zugriff auf
wenigstens ein Extbase Plugin oder eine Modul-Aktion in einer
TYPO3-Installation hat, kann die Schwachstelle ausnutzen, um beliebige
Extbase Aktionen mittels eines speziell manipulierten Requests auszuführen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2016-0829/

TYPO3 Security Bulletin TYPO3-CORE-SA-2016-013:
https://typo3.org/teams/security/security-bulletins/typo3-core/typo3-core-sa-2016-013/

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben