Liebe Kolleginnen und Kollegen,
bitte beachten Sie die folgende Sicherheitsmeldung.
Betroffene Software:
Typo3
Betroffene Plattformen:
Typo3
Mehrere Schwachstellen wurden in verschiedenen TYPO3-Erweiterungen gefunden
und durch Bereitstellung spezifischer Updates behoben. Diese Schwachstellen
erlauben einem entfernten, nicht authentisierten Angreifer teils die
Ausführung beliebigen Programmcodes, die Manipulation von Datein,
SQL-Injektion, Cross-Site-Scripting (XSS) und Cross-Site-Request-Forgery
(CSRF).
Patch:
TYPO3 Security Bulletin TYPO3-EXT-SA-2014-005
https://typo3.org/teams/security/security-bulletins/typo3-extensions/typo3-ext-sa-2014-005/
Patch:
TYPO3 Security Bulletin TYPO3-EXT-SA-2014-002
https://typo3.org/teams/security/security-bulletins/typo3-extensions/typo3-ext-sa-2014-002/
Patch:
TYPO3 Security Bulletin TYPO3-EXT-SA-2014-003
https://typo3.org/teams/security/security-bulletins/typo3-extensions/typo3-ext-sa-2014-003/
Patch:
TYPO3 Security Bulletin TYPO3-EXT-SA-2014-004
https://typo3.org/teams/security/security-bulletins/typo3-extensions/typo3-ext-sa-2014-004/
Patch:
TYPO3 Security Bulletin TYPO3-EXT-SA-2014-001
https://typo3.org/teams/security/security-bulletins/typo3-extensions/typo3-ext-sa-2014-001/
TYPO3-EXT-SA-2014-005: Schwachstelle in TYPO3-Erweiterungen “Yet Another
Gallery” (yag) und “Tools for Extbase development” (pt_extbase)
Ein Schwachstelle wurde in der Erweiterung pt_extbase, welche mit Ajax
“dispatcher” für Extbase mitkommt, festgestellt. Bei Gebrauch des Ajax
“dispatcher” ist es möglich, jede Aktion für jeden Controller jeder
Extbase-Erweiterung, welche auf dem System installiert ist, aufzurufen. Der
Ajax “dispatcher” macht keine Zugangsprüfungen. Dadurch ist es möglich, die
Zugangsprüfungen für Extbase Backend-Module, wie zum Beispiel das “backend
user administration”-Modul, zu umgehen. Die Erweiterung yag stellt ebenfalls
einen Ajax “dispatcher” bereit, welcher zwar nicht verwendet wird, der aber
ebenfalls angreifbar ist. Ein entfernter, nicht authentisierter Angreifer
kann die Schwachstelle ausnutzen, um beliebigen Programmcode auszuführen.
TYPO3-EXT-SA-2014-004: Schwachstelle in TYPO3-Erweiterung Direct Mail
Subscription (direct_mail_subscription)
Die TYPO3-Erweiterung Direct Mail Subscription enthält eine ältere,
angreifbare Version der feuser_adminLib.inc Bibliothek. Das bedeutet, dass
jeder Link für die Erzeugung von Einträgen, welcher von dieser Bibliothek
erzeugt wurde, manipuliert werden kann. Ein entfernter, nicht angemeldeter
Angreifer kann diese Schwachstelle ausnutzen und jedes Datenbankfeld in der
konfigurierten Datenbank mit beliebigen Werten befüllen, wobei er weder
eingeschränkt ist auf solche Felder, die in der Konfiguration aufgelistet
sind, noch hinsichtlich des Links selbst.
TYPO3-EXT-SA-2014-003: Schwachstelle in TYPO3-Erweiterung News (tt_news)
Eine Schwachstelle in der TYPO3-Erweiterung News besteht darin, dass
Benutzereingaben nicht ordentlich bereinigt werden (“insecure unserialize”).
Ein entfernter, nicht authentisierter Angreifer kann diese Schwachstelle
ausnutzen und beliebigen Programmcode zur Ausführung bringen.
TYPO3-EXT-SA-2014-002: Schwachstellen in TYPO3-Erweiterungen alpha_sitemap,
femanager ke_stats, outstats, px_phpids, smarty, wec_map
Mehrere Schwachstellen wurden in den TYPO3-Erweiterungen alpha_sitemap,
femanager ke_stats, outstats, px_phpids, smarty, wec_map gefunden. Hierfür
wurde nur ein zusammenfassendes Security Bulletin veröffentlicht, weil
hierfür weder eine signifikante Anzahl von Downloads registriert wurde, noch
diese Schwachstellen, nach Einschätzung des TYPO3 Security Teams, von
besonderer Bedeutung für die TYPO3 Community sind. Alle diese Schwachstellen
können aber von entfernten, nicht authentisierten Angreifern ausgenutzt
werden:
Eine Schwachstelle in Alphabetic Sitemap (alpha_sitemap) erlaubt
Cross-Site-Scripting (XSS).
Eine Schwachstelle in femanager (femanager) besteht in einem Fehler bei der
Prüfung von Berechtigungen und erlaubt über die Eskalation von Privilegien,
Benutzereinträge zu verändern und zu löschen.
Eine Schwachstelle in Statistics (ke_stats) erlaubt SQL-Injektion.
Eine Schwachstelle in External links click statistics (outstats) erlaubt
Cross-Site-Scripting (XSS).
Eine Schwachstelle in TYPO3 Security / Intrusion Detection System
(px_phpids) erlaubt das Ausspähen von Information und das Umgehen von
Sicherheitsvorkehrungen.
Eine Schachstelle in smarty (smarty) erlaubt über eine Template-Datei
beliebige PHP-Skripte einzuschleusen.
Eine Schwachstelle in WEC Map (wec_map) erlaubt SQL-Injektion und
Cross-Site-Scripting.
TYPO3-EXT-SA-2014-001: Schwachstelle in der TYPO3-Erweiterung mm_forum
(mm_forum)
Eine Schwachstelle in der TYPO3-Erweiterung mm_forum (mm_forum) besteht
darin, dass Benutzereingaben nicht ordentlich bereinigt und hochgeladene
Dateien nicht gegen ein Muster nicht erlaubter Dateien geprüft werden.
Dieses ermöglicht einem entfernten, nicht authentisierten Angreifer im
ersten Falle Cross-Site-Scripting (XSS), im zweiten Falle durch Hochladen
von PHP-Dateien die Ausführung beliebigen Programmcodes (Arbitrary Code
Execution). Außerdem kann ein Angreifer POSTS im Namen eines angemeldeten
Benutzers erzeugen – Cross-Site-Request-Forgery (CSRF).
Referenzen:
Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2014-0178/
TYPO3 Security Bulletin TYPO3-EXT-SA-2014-005:
https://typo3.org/teams/security/security-bulletins/typo3-extensions/typo3-ext-sa-2014-005/
TYPO3 Security Bulletin TYPO3-EXT-SA-2014-002:
https://typo3.org/teams/security/security-bulletins/typo3-extensions/typo3-ext-sa-2014-002/
TYPO3 Security Bulletin TYPO3-EXT-SA-2014-003:
https://typo3.org/teams/security/security-bulletins/typo3-extensions/typo3-ext-sa-2014-003/
TYPO3 Security Bulletin TYPO3-EXT-SA-2014-004:
https://typo3.org/teams/security/security-bulletins/typo3-extensions/typo3-ext-sa-2014-004/
TYPO3 Security Bulletin TYPO3-EXT-SA-2014-001:
https://typo3.org/teams/security/security-bulletins/typo3-extensions/typo3-ext-sa-2014-001/
(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.
