Abo
  • Services:
Anzeige
Über eine Schwachstelle in Typo3 können sich Nutzer ohne Passworteingabe anmelden.
Über eine Schwachstelle in Typo3 können sich Nutzer ohne Passworteingabe anmelden. (Bild: Typo3)

CMS: Sicherheitslücke in Typo3

Über eine Schwachstelle in Typo3 können sich Nutzer ohne Passworteingabe anmelden.
Über eine Schwachstelle in Typo3 können sich Nutzer ohne Passworteingabe anmelden. (Bild: Typo3)

Über eine gravierende Sicherheitslücke in alten Versionen des CMS Typo3 kann sich jeder authentifizieren, der nur den Namen eines registrierten Benutzers kennt. Es gibt Updates und einen Patch.

Anzeige

Die Entwickler des CMS Typo3 warnen vor einer gravierenden Sicherheitslücke. Darüber kann sich jeder authentifizieren, wenn ihm nur der Name eines bereits registrierten Benutzers bekannt ist - denn ein Passwort wird nicht abgefragt. Das Typo3-Team hat bereits Updates und einen Patch bereitgestellt.

Von der Schwachstelle betroffen ist das Frontend des CMS. Das Backend ist sicher. Die Schwachstelle tritt in vielen älteren Versionen des CMS auf, darunter 4.3.0 bis 4.3.14, 4.4.0 bis 4.4.15, 4.5.0 bis 4.5.39 sowie 4.6.0 bis 4.6.18. Der Konfigurationsfehler befindet sich in der Systemerweiterung Rsaauth. Nur wenn diese Erweiterung für das Frontend-Login konfiguriert ist, tritt das Problem auf. Alle Versionen ab 4.7.0 sind sicher.

Die Entwickler raten dringend zu einem Update auf die Version 4.5.40, in der das Problem behoben wurde. Alternativ kann man auch ein Update auf einen neueren Versionszweig durchführen, 6.2.9 und 7.0.2 werden aktuell unterstützt. Außerdem haben die Entwickler ein Shell-Skript zur Verfügung gestellt, mit dem betroffene Installationen gepatcht werden können. Zusätzlich lässt sich die Schwachstelle mit einer Diff-Datei schließen.


eye home zur Startseite
M. 23. Feb 2015

Ja, aber vermutlich wird ein 'leerer' $this->login['uname'] (Username) nicht weit...

b5g2k 23. Feb 2015

Ja der Bug ist alt und wurde erst jetzt gefunden... allemal besser als die Microsoft...



Anzeige

Stellenmarkt
  1. REGUMED Regulative Medizintechnik GmbH, Planegg Raum München
  2. BODYCOTE Deutschland GmbH, Düsseldorf
  3. Knauf Information Services GmbH, Iphofen (Raum Würzburg)
  4. Bayerisches Landesamt für Verfassungsschutz (BayLfV), München


Anzeige
Hardware-Angebote
  1. 184,90€ + 3,99€ Versand (Bestpreis!)
  2. 286,99€ (Bestpreis!)

Folgen Sie uns
       


  1. Die Woche im Video

    Angeswitcht, angegriffen, abgeturnt

  2. Hardlight VR Suit

    Vibrations-Weste soll VR-Erlebnis realistischer machen

  3. Autonomes Fahren

    Der Truck lernt beim Fahren

  4. Selektorenaffäre

    BND soll ausländische Journalisten ausspioniert haben

  5. Kursanstieg

    Bitcoin auf neuem Rekordhoch

  6. Google-Steuer

    Widerstand gegen Leistungsschutzrecht auf EU-Ebene

  7. Linux-Kernel

    Torvalds droht mit Nicht-Aufnahme von Treibercode

  8. Airbus A320

    In Flugzeugen wird der Platz selbst für kleine Laptops knapp

  9. Urheberrecht

    Marketplace-Händler wegen Bildern von Amazon bestraft

  10. V8 Turbofan

    Neuer Javascript-Compiler für Chrome kommt im März



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Der große Ultra-HD-Blu-ray-Test (Teil 2): 4K-Hardware ist nichts für Anfänger
Der große Ultra-HD-Blu-ray-Test (Teil 2)
4K-Hardware ist nichts für Anfänger
  1. Der große Ultra-HD-Blu-ray-Test (Teil 1) 4K-Filme verzeihen keine Fehler
  2. Deutsche Verkaufszahlen Unberechtigter Jubel über die UHD-Blu-ray
  3. 4K Blu-ray Sonys erster UHD-Player kommt im Frühjahr 2017

Anet A6 im Test: Wenn ein 3D-Drucker so viel wie seine Teile kostet
Anet A6 im Test
Wenn ein 3D-Drucker so viel wie seine Teile kostet
  1. Bat Bot Die Fledermaus wird zum Roboter
  2. Kickstarter / NexD1 Betrugsvorwürfe gegen 3D-Drucker-Startup
  3. 3D-Druck Spanische Architekten drucken eine Brücke

LineageOS im Test: Das neue Cyanogenmod ist fast das alte Cyanogenmod
LineageOS im Test
Das neue Cyanogenmod ist fast das alte Cyanogenmod
  1. Ex-Cyanogenmod LineageOS startet mit den ersten fünf Smartphones
  2. Smartphone-OS Cyanogenmod ist tot, lang lebe Lineage

  1. Re: Klasse, wie "open" dieses Open Source doch ist.

    felix.schwarz | 10:38

  2. Re: Vorischt bei Air Berlin

    M.P. | 10:38

  3. SHA1 Kollision

    TC | 10:36

  4. Re: Gefährlich

    quineloe | 10:35

  5. Re: First World Problems

    quineloe | 10:32


  1. 09:02

  2. 18:02

  3. 17:43

  4. 16:49

  5. 16:21

  6. 16:02

  7. 15:00

  8. 14:41


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel