Liebe Kolleginnen und Kollegen,
bitte beachten Sie die folgende Sicherheitsmeldung.
Betroffene Software:
TYPO3 Extension
Betroffene Plattformen:
GNU/Linux
Microsoft Windows
Mehrere Schwachstellen in den Erweiterungen ‘T3Blog Extbase’ (t3extblog),
‘Recommend Page’ (pb_recommend_page), ‘Formhandler’ (formhandler),
‘Multishop’ (multishop) und ‘CAB FAL search’ (falsearch) ermöglichen es
einem zumeist entfernten, nicht authentisierten Angreifer,
Cross-Site-Scripting-Angriffe (XSS) auszuführen. Mehrere weitere
Schwachstellen in der Erweiterung ‘File Manager’ (ameos_filemanager)
ermöglichen einem entfernten, nicht authentisierten Angreifer das Ausführen
beliebigen Programmcodes, das Ausspähen von Informationen und die
Manipulation von Daten in der SQL-Datenbank sowie das Ausspähen von
Dateiinformationen im ‘fileadmin’ Ordner. Eine weitere Schwachstelle in der
Erweiterung ‘restler’ (restler) ermöglicht den Lesezugriff auf beliebige
Dateien, auf die der Webserver zugriff hat, solange die Datei-Zugriffsrechte
der entsprechenden Erweiterung falsch gesetzt sind. Dies ermöglicht dem
Angreifer indirekt die Übernahme der SQL-Datenbank.
Zur Behebung der Schwachstellen stehen die Erweiterungen in den Versionen
‘T3Blog Extbase’ 2.2.2, ‘Formhandler’ 2.4.1, ‘Multishop’ 5.0.1, ‘CAB FAL
search’ 0.2.1, ‘File manager’ 1.0.2 und ‘restler’ 1.7.1 zur Verfügung. Für
die Erweiterung ‘Recommend Page’ gibt es keinen Patch, da die Erweiterung
nicht weiterentwickelt wird und veraltet ist. Es wird daher empfohlen, die
Erweiterung zu deinstallieren und den entsprechenden Erweiterungs-Ordner aus
der TYPO3-Installation zu löschen.
Patch:
TYPO3-Erweiterung ‘CAB FAL search’ 0.2.1 Download
https://extensions.typo3.org/extension/falsearch/
Patch:
TYPO3-Erweiterung ‘Formhandler’ 2.4.1 Download
https://extensions.typo3.org/extension/formhandler/
Patch:
TYPO3-Erweiterung ‘ameos_filemanager’ 1.0.2 Download
https://extensions.typo3.org/extension/ameos_filemanager/
Patch:
TYPO3-Erweiterung ‘multishop’ 5.0.1 Download
https://extensions.typo3.org/extension/multishop/
Patch:
TYPO3-Erweiterung ‘restler’ 1.7.1 Download
https://extensions.typo3.org/extension/restler/
Patch:
TYPO3-Erweiterung ‘t3extblog’ 2.2.2 Download
https://extensions.typo3.org/extension/t3extblog/
TYPO3-EXT-SA-2017-014: Schwachstelle in TYPO3-Erweiterung ‘Multishop’
ermöglicht Cross-Site-Scripting-Angriff
Die TYPO3-Erweiterung ‘Multishop’ (multishop) nutzt eine veraltete Version
von ‘PHPMailer’ welche Benutzereingaben nicht korrekt kodiert
(CVE-2017-11503). Ein entfernter, nicht authentisierter Angreifer kann
dadurch Cross-Site-Scripting-Angriffe ausführen.
TYPO3-EXT-SA-2017-013: Schwachstelle in TYPO3-Erweiterung ‘CAB FAL search’
ermöglicht Cross-Site-Scripting-Angriffe
Die TYPO3-Erweiterung ‘CAB FAL search’ (falsearch) kodiert Benutzereingaben
nicht korrekt. In der Folge kann ein entfernter, einfach authentisierter
Angreifer Cross-Site-Scripting-Angriffe ausführen. Um die Schwachstelle
auszunutzen benötigt der Angreifer einen gültigen Backend-Zugang mit Zugriff
auf das ‘filelist backend’ Modul.
TYPO3-EXT-SA-2017-011: Schwachstelle in TYPO3 Erweiterung ‘Formhandler’
ermöglicht Cross-Site-Scripting-Angriff
Die TYPO3 Erweiterung ‘Formhandler’ (formhandler) kodiert Benutzereingaben
nicht korrekt. In der Folge kann ein entfernter, nicht authentisierter
Angreifer Cross-Site-Scripting-Angriffe ausführen.
TYPO3-EXT-SA-2017-010: Schwachstelle in TYPO3 Erweiterung ‘Recommend Page’
ermöglicht Cross-Site-Scripting-Angriff
Die TYPO3 Erweiterung ‘Recommend Page’ (pb_recommend_page) kodiert
Benutzereingaben, die von der Erweiterung als Email versandt werden, nicht
korrekt. In der Folge kann ein entfernter, nicht authentisierter Angreifer
Cross-Site-Scripting-Angriffe ausführen.
TYPO3-EXT-SA-2017-009: Schwachstelle in TYPO3-Erweiterung ‘T3Blog Extbase’
ermöglicht Cross-Site-Scripting-Angriff
Die TYPO3 Erweiterung ‘T3Blog Extbase’ (t3extblog) kodiert Benutzereingaben
nicht korrekt. In der Folge kann ein entfernter, nicht authentisierter
Angreifer Cross-Site-Scripting-Angriffe ausführen.
TYPO3-EXT-SA-2017-008: Schwachstellen in TYPO3-Erweiterung ‘File Manager’
ermöglichen u.a. SQL-Injektion
Die TYPO3 Erweiterung ‘File Manager’ (ameos_filemanager) prüft
Zugriffsrechte und bestimmte Benutzereingaben nicht ausreichend. In der
Folge kann ein entfernter, nicht authentisierter Angreifer beliebige Dateien
in den ‘fileadmin’ Ordner hochladen. Durch Modifikation eines
HTTP-GET-Parameters, kann ein entfernter, nicht authentisierter Angreifer
Dateiinformationen (Name, Beschreibung, Schlüsselwörter, Kategorien) jeder
Datei im ‘fileadmin’ Ordner einsehen. Außerdem werden Benutzereingaben nicht
ausreichend bereinigt, wodurch ein entfernter, nicht authentisierter
Angreifer beliebigen SQL-Programmcode injizieren und dadurch Informationen
aus der Datenbank ausspähen und diese manipulieren kann.
CVE-2017-15363: Schwachstelle in TYPO3-Erweiterung ‘restler’ ermöglicht
Ausspähen von Informationen
Die TYPO3-Erweiterung ‘restler’ beinhaltet eine Version des ‘REST API
Servers’ von Luracast die bekanntermaßen anfällig ist, das Ausspähen von
Dateien zu ermöglichen, auf die der Webserver zugriff hat. Die Schwachstelle
kann nur dann ausgenutzt werden, wenn der Zugriff auf den
Erweiterungs-Ordner, insbesondere die Datei ‘getsource.php’ durch einen
nicht authentisierten Nutzer möglich ist. In der Folge kann ein entfernter,
nicht authentisierter Angreifer beliebige Dateien ausspähen, auf die der
Webserver Zugriff hat. Dazu zählt auch die Konfigurationsdatei von TYPO3
‘LocalConfiguration.php’ die unter anderem den Zugang zur SQL-Datenbank
beinhaltet, wodurch weitere Angriffe möglich sind.
Referenzen:
Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2017-1976/
Schwachstelle CVE-2017-11503 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-11503
TYPO3-EXT-SA-2017-008: Multiple vulnerabilities in extension ‘File manager’
(ameos_filemanager):
https://typo3.org/teams/security/security-bulletins/typo3-extensions/typo3-ext-sa-2017-008
TYPO3-EXT-SA-2017-009: Cross Site-Scripting in extension ‘T3Blog Extbase’
(t3extblog):
https://typo3.org/teams/security/security-bulletins/typo3-extensions/typo3-ext-sa-2017-009
TYPO3-EXT-SA-2017-010: Cross Site-Scripting in extension ‘Recommend page’
(pb_recommend_page):
https://typo3.org/teams/security/security-bulletins/typo3-extensions/typo3-ext-sa-2017-010
TYPO3-EXT-SA-2017-011: Cross Site-Scripting in extension ‘Formhandler’
(formhandler):
https://typo3.org/teams/security/security-bulletins/typo3-extensions/typo3-ext-sa-2017-011
TYPO3-EXT-SA-2017-012: Arbitrary File Disclosure in extension ‘restler’
(restler):
https://typo3.org/teams/security/security-bulletins/typo3-extensions/typo3-ext-sa-2017-012
TYPO3-EXT-SA-2017-013: Cross Site-Scripting in extension ‘CAB FAL search’
(falsearch):
https://typo3.org/teams/security/security-bulletins/typo3-extensions/typo3-ext-sa-2017-013
TYPO3-EXT-SA-2017-014: Cross Site-Scripting in extension ‘Multishop’
(multishop):
https://typo3.org/teams/security/security-bulletins/typo3-extensions/typo3-ext-sa-2017-014/
TYPO3-Erweiterung ‘CAB FAL search’ 0.2.1 Download:
https://extensions.typo3.org/extension/falsearch/
TYPO3-Erweiterung ‘Formhandler’ 2.4.1 Download:
https://extensions.typo3.org/extension/formhandler/
TYPO3-Erweiterung ‘ameos_filemanager’ 1.0.2 Download:
https://extensions.typo3.org/extension/ameos_filemanager/
TYPO3-Erweiterung ‘multishop’ 5.0.1 Download:
https://extensions.typo3.org/extension/multishop/
TYPO3-Erweiterung ‘restler’ 1.7.1 Download:
https://extensions.typo3.org/extension/restler/
TYPO3-Erweiterung ‘t3extblog’ 2.2.2 Download:
https://extensions.typo3.org/extension/t3extblog/
Schwachstelle CVE-2017-15363 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-15363
(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.
