DFN-CERT-2017-0355 TYPO3: Zwei Schwachstellen ermöglichen Cross-Site-Scripting-Angriffe und das Umgehen von Sichherheitsvorkehrungen [Linux][Windows]

DFN-CERT-2017-0355 TYPO3: Zwei Schwachstellen ermöglichen Cross-Site-Scripting-Angriffe und das Umgehen von Sichherheitsvorkehrungen [Linux][Windows]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

TYPO3 < 7.6.16 TYPO3 < 8.6.1 Betroffene Plattformen: GNU/Linux Microsoft Windows Eine Schwachstelle in TYPO3 ermöglicht einem entfernten, nicht authentisierten Angreifer die Durchführung von Cross-Site-Scripting (XSS)-Angriffen. Eine weitere Schwachstelle ermöglicht einem entfernten, einfach authentisierten Angreifer, dessen Zugang zum TYPO3-Frontend eingeschränkt ist, sich dennoch dort anzumelden. Es stehen Sicherheitsupdates für TYPO3 auf Version 7.6.16 und 8.6.1 zur Verfügung, um die Schwachstellen zu beheben. Die Cross-Site-Scripting-Schwachstelle betrifft lediglich den aktuellen Long-Term-Support-Versionszweig TYPO3 7. Patch: TYPO3 Download-Seite https://typo3.org/download/

Patch:

TYPO Security Advisory TYPO3-CORE-SA-2017-002

https://typo3.org/teams/security/security-bulletins/typo3-core/typo3-core-sa-2017-002/

Patch:

TYPO Security Advisory TYPO3-CORE-SA-2017-003

https://typo3.org/teams/security/security-bulletins/typo3-core/typo3-core-sa-2017-003

TYPO3-CORE-SA-2017-003: Schwachstelle in TYPO3 ermöglicht
Cross-Site-Scripting-Angriff

An verschiedenen Stellen im Programmcode werden Benutzereingaben in TYPO3
nicht korrekt kodiert. Ein entfernter, nicht authentisierter Angreifer kann
dadurch unterschiedliche Cross-Site-Scripting (XSS)-Angriffe durchführen.

TYPO3-CORE-SA-2017-002: Schwachstelle in TYPO3 ermöglicht Umgehen von
Sicherheitsvorkehrungen

Aufgrund zu später Initialisierung des Table Configuration Array (TCA)
sperrt der Authentisierungsdienst eingeschränkte Benutzer nicht anhand der
für diese festgelegten Validierungsregeln. Ein entfernter, einfach
authentisierter Angreifer, der als Benutzer des Frontends eingeschränkt
(restricted) ist und sich aufgrund der geltenden Validierungsregeln nicht
mehr anmelden können dürfte, kann sich deshalb trotzdem anmelden.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2017-0355/

TYPO3 Download-Seite:
https://typo3.org/download/

TYPO Security Advisory TYPO3-CORE-SA-2017-002:
https://typo3.org/teams/security/security-bulletins/typo3-core/typo3-core-sa-2017-002/

TYPO Security Advisory TYPO3-CORE-SA-2017-003:
https://typo3.org/teams/security/security-bulletins/typo3-core/typo3-core-sa-2017-003

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben