Abo
  • IT-Karriere:

CMS: Sicherheitslücke in Typo3

Über eine gravierende Sicherheitslücke in alten Versionen des CMS Typo3 kann sich jeder authentifizieren, der nur den Namen eines registrierten Benutzers kennt. Es gibt Updates und einen Patch.

Artikel veröffentlicht am ,
Über eine Schwachstelle in Typo3 können sich Nutzer ohne Passworteingabe anmelden.
Über eine Schwachstelle in Typo3 können sich Nutzer ohne Passworteingabe anmelden. (Bild: Typo3)

Die Entwickler des CMS Typo3 warnen vor einer gravierenden Sicherheitslücke. Darüber kann sich jeder authentifizieren, wenn ihm nur der Name eines bereits registrierten Benutzers bekannt ist - denn ein Passwort wird nicht abgefragt. Das Typo3-Team hat bereits Updates und einen Patch bereitgestellt.

Stellenmarkt
  1. SEW-EURODRIVE GmbH & Co KG, Bruchsal
  2. Dataport, Rostock

Von der Schwachstelle betroffen ist das Frontend des CMS. Das Backend ist sicher. Die Schwachstelle tritt in vielen älteren Versionen des CMS auf, darunter 4.3.0 bis 4.3.14, 4.4.0 bis 4.4.15, 4.5.0 bis 4.5.39 sowie 4.6.0 bis 4.6.18. Der Konfigurationsfehler befindet sich in der Systemerweiterung Rsaauth. Nur wenn diese Erweiterung für das Frontend-Login konfiguriert ist, tritt das Problem auf. Alle Versionen ab 4.7.0 sind sicher.

Die Entwickler raten dringend zu einem Update auf die Version 4.5.40, in der das Problem behoben wurde. Alternativ kann man auch ein Update auf einen neueren Versionszweig durchführen, 6.2.9 und 7.0.2 werden aktuell unterstützt. Außerdem haben die Entwickler ein Shell-Skript zur Verfügung gestellt, mit dem betroffene Installationen gepatcht werden können. Zusätzlich lässt sich die Schwachstelle mit einer Diff-Datei schließen.



Anzeige
Hardware-Angebote
  1. 245,90€
  2. (reduzierte Überstände, Restposten & Co.)
  3. 72,99€ (Release am 19. September)
  4. 469€

M. 23. Feb 2015

Ja, aber vermutlich wird ein 'leerer' $this->login['uname'] (Username) nicht weit...

b5g2k 23. Feb 2015

Ja der Bug ist alt und wurde erst jetzt gefunden... allemal besser als die Microsoft...


Folgen Sie uns
       


Asus Prime Utopia angesehen

Asus zeigt auf der Computex 2019 eine Ideenstudie für ein neues High-End-Mainboard.

Asus Prime Utopia angesehen Video aufrufen
Mobile-Games-Auslese: Magischer Dieb trifft mogelnden Doktor
Mobile-Games-Auslese
Magischer Dieb trifft mogelnden Doktor

Ein Dieb mit Dolch in Daggerhood, dazu ein (historisch verbürgter) Arzt in Astrologaster sowie wunderschön aufbereitetes Free-to-Play-Mittelalter in Marginalia Hero: Golem.de stellt die spannendsten neuen Mobile Games vor.
Von Rainer Sigl

  1. Hyper Casual Games 30 Sekunden spielen, 30 Sekunden Werbung
  2. Mobile-Games-Auslese Rollenspiel-Frühling mit leichten Schusswechseln
  3. Gaming Apple Arcade wird Spiele-Flatrate für iOS und MacOS

Ada und Spark: Mehr Sicherheit durch bessere Programmiersprachen
Ada und Spark
Mehr Sicherheit durch bessere Programmiersprachen

Viele Sicherheitslücken in Software sind auf Programmierfehler zurückzuführen. Diese Fehler lassen sich aber vermeiden - und zwar unter anderem durch die Wahl einer guten Programmiersprache. Ada und Spark gehören dazu, leider sind sie immer noch wenig bekannt.
Von Johannes Kanig

  1. Das andere How-to Deutsch lernen für Programmierer
  2. Programmiersprachen, Pakete, IDEs So steigen Entwickler in Machine Learning ein
  3. Software-Entwickler Welche Programmiersprache soll ich lernen?

IT-Forensikerin: Beweise sichern im Faradayschen Käfig
IT-Forensikerin
Beweise sichern im Faradayschen Käfig

IT-Forensiker bei der Bundeswehr sichern Beweise, wenn Soldaten Dienstvergehen oder gar Straftaten begehen, und sie jagen Viren auf Militärcomputern. Golem.de war zu Gast im Zentrum für Cybersicherheit, das ebenso wie die IT-Wirtschaft um guten Nachwuchs buhlt.
Eine Reportage von Maja Hoock

  1. Homeoffice Wenn der Arbeitsplatz so anonym ist wie das Internet selbst
  2. Bundesagentur für Arbeit Informatikjobs bleiben 132 Tage unbesetzt
  3. IT-Headhunter ReactJS- und PHP-Experten verzweifelt gesucht

    •  /