UPDATE: DFN-CERT-2016-0829 TYPO3: Eine Schwachstelle ermöglicht die Kompromittierung des Systems [Linux][Unix][Solaris][Windows]

UPDATE: DFN-CERT-2016-0829 TYPO3: Eine Schwachstelle ermöglicht die Kompromittierung des Systems [Linux][Unix][Solaris][Windows]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 2 (24.05.2016):
YPO3 informiert kurzfristig über eine Regression, die durch die
Sicherheitsupdates TYPO3 CMS 6.2.24, TYPO3 CMS 7.6.8 und TYPO3 CMS 8.1.1
eingeführt wurde, und stellt die fehlerbereinigten Versionen 6.2.25 LTS,
7.6.9 LTS und 8.1.2 zur manuellen Installation bereit (siehe hierzu auch
Heise Security Artikel).
Version 1 (24.05.2016):
Neues Advisory

Betroffene Software:

TYPO3 >= 4.3.0
TYPO3 <= 8.1.0 Betroffene Plattformen: TYPO3 Ein entfernter, nicht authentifizierter Angreifer kann die Schwachstelle zur Ausführung beliebiger Befehle ausnutzen und damit das TYPO3-System komplett kompromittieren. TYPO3 stellt die Versionen 6.2.24, 7.6.8 und 8.1.1 als Sicherheitsupdates zur Behebung der Schwachstelle bereit und empfiehlt aufgrund der Kritikalität der Schwachstelle allen Nutzern der Versionen 4.3.0 bis 8.1.0 eine zügige Installation der Sicherheitsupdates. TYPO3-Installationen, die wenigsten eine öffentlich verfügbare Extbase Aktion bereitstellen, sind ohne weitere Authentifikation angreifbar. TYPO3-Installationen, die solche Aktionen nicht anbieten, sind durch authentifizierte Backend-Benutzer, welche Zugriff auf Backend-Module haben, die auf Extbase basieren, angreifbar. Patch: Release Notes for TYPO3 CMS 6.2.25 https://wiki.typo3.org/TYPO3_CMS_6.2.25

Patch:

Release Notes for TYPO3 CMS 7.6.9

https://wiki.typo3.org/TYPO3_CMS_7.6.9

Patch:

Release Notes for TYPO3 CMS 8.1.2

https://wiki.typo3.org/TYPO3_CMS_8.1.2

Patch:

TYPO3 Security Bulletin TYPO3-CORE-SA-2016-013

https://typo3.org/teams/security/security-bulletins/typo3-core/typo3-core-sa-2016-013/

TYPO3-CORE-SA-2016-013: Schwachstelle in TYPO3 ermöglicht Ausführung
beliebigen Programmcodes

Eine Schwachstelle in TYPO3 von Version 4.3.0 bis einschließlich 8.1.0
basiert auf einer unzureichenden Zugriffsprüfung für Extbase Aktionen für
angefragte Controller/Action-Kombinationen. Ein Angreifer, der Zugriff auf
wenigstens ein Extbase Plugin oder eine Modul-Aktion in einer
TYPO3-Installation hat, kann die Schwachstelle ausnutzen, um beliebige
Extbase Aktionen mittels eines speziell manipulierten Requests auszuführen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2016-0829/

Release Notes for TYPO3 CMS 6.2.25:
https://wiki.typo3.org/TYPO3_CMS_6.2.25

Release Notes for TYPO3 CMS 7.6.9:
https://wiki.typo3.org/TYPO3_CMS_7.6.9

Release Notes for TYPO3 CMS 8.1.2:
https://wiki.typo3.org/TYPO3_CMS_8.1.2

TYPO3 Security Bulletin TYPO3-CORE-SA-2016-013:
https://typo3.org/teams/security/security-bulletins/typo3-core/typo3-core-sa-2016-013/

Heise Security Artikel – Typo 3: Kritische Lücke geschlossen,
Sicherheits-Update verfügbar:
http://www.heise.de/security/meldung/Typo-3-Kritische-Luecke-geschlossen-Sicherheits-Update-verfuegbar-3217028.html

TYPO3 CMS 6.2.25, 7.6.9 and 8.1.2 released:
https://typo3.org/news/article/typo3-cms-6225-769-and-812-released/

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben