Abo
  • IT-Karriere:

CMS: Sicherheitslücke in Typo3

Über eine gravierende Sicherheitslücke in alten Versionen des CMS Typo3 kann sich jeder authentifizieren, der nur den Namen eines registrierten Benutzers kennt. Es gibt Updates und einen Patch.

Artikel veröffentlicht am ,
Über eine Schwachstelle in Typo3 können sich Nutzer ohne Passworteingabe anmelden.
Über eine Schwachstelle in Typo3 können sich Nutzer ohne Passworteingabe anmelden. (Bild: Typo3)

Die Entwickler des CMS Typo3 warnen vor einer gravierenden Sicherheitslücke. Darüber kann sich jeder authentifizieren, wenn ihm nur der Name eines bereits registrierten Benutzers bekannt ist - denn ein Passwort wird nicht abgefragt. Das Typo3-Team hat bereits Updates und einen Patch bereitgestellt.

Stellenmarkt
  1. Versicherungskammer Bayern, München
  2. Schaeffler Technologies AG & Co. KG, Herzogenaurach

Von der Schwachstelle betroffen ist das Frontend des CMS. Das Backend ist sicher. Die Schwachstelle tritt in vielen älteren Versionen des CMS auf, darunter 4.3.0 bis 4.3.14, 4.4.0 bis 4.4.15, 4.5.0 bis 4.5.39 sowie 4.6.0 bis 4.6.18. Der Konfigurationsfehler befindet sich in der Systemerweiterung Rsaauth. Nur wenn diese Erweiterung für das Frontend-Login konfiguriert ist, tritt das Problem auf. Alle Versionen ab 4.7.0 sind sicher.

Die Entwickler raten dringend zu einem Update auf die Version 4.5.40, in der das Problem behoben wurde. Alternativ kann man auch ein Update auf einen neueren Versionszweig durchführen, 6.2.9 und 7.0.2 werden aktuell unterstützt. Außerdem haben die Entwickler ein Shell-Skript zur Verfügung gestellt, mit dem betroffene Installationen gepatcht werden können. Zusätzlich lässt sich die Schwachstelle mit einer Diff-Datei schließen.



Anzeige
Top-Angebote
  1. (u. a. Ghost Recon Wildlands Ultimate Edition für 35,99€, The Banner Saga 3 für 9,99€, Mega...
  2. (u. a. Predator - Upgrade, Red Sparrow, Specttre, White Collar - komplette Serie)
  3. (Samsung 970 EVO PLus 1 TB für 204,90€ oder Samsung 860 EVO 1 TB für 135,90€)
  4. 99,90€ (Bestpreis!)

M. 23. Feb 2015

Ja, aber vermutlich wird ein 'leerer' $this->login['uname'] (Username) nicht weit...

b5g2k 23. Feb 2015

Ja der Bug ist alt und wurde erst jetzt gefunden... allemal besser als die Microsoft...


Folgen Sie uns
       


Acer Predator Thronos ausprobiert (Ifa 2019)

Acer stellt auf der Ifa den doch auffälligen Gaming-Stuhl Predator Thronos aus. Golem.de setzt sich hinein - und möchte am liebsten nicht mehr aussteigen.

Acer Predator Thronos ausprobiert (Ifa 2019) Video aufrufen
iPhone 11 im Test: Zwei Kameras beim iPhone reichen
iPhone 11 im Test
Zwei Kameras beim iPhone reichen

Das iPhone Xr war der heimliche Verkaufsschlager der letzten iPhone-Generation, mit dem iPhone 11 bekommt das Gerät nun einen Nachfolger. Im Test zeigt sich, dass Käufer auf die Kamerafunktionen der Pro-Modelle nicht verzichten müssen, uns stört auch das fehlende dritte Objektiv nicht - im Gegensatz zum Display.
Ein Test von Tobias Költzsch

  1. Tim Cook Apple-CEO verteidigt die Sperrung der Hongkong-Protestapp
  2. China Apple entfernt Hongkonger Protest-App aus App Store
  3. Smartphone Apple bietet kostenlose Reparatur für iPhone 6S an

Inside Bill's Brain rezensiert: Nicht nur in Bill Gates' Kopf herrscht Chaos
Inside Bill's Brain rezensiert
Nicht nur in Bill Gates' Kopf herrscht Chaos

Einer der erfolgreichsten Menschen der Welt ist eben auch nur ein Mensch: Die Netflix-Doku Inside Bill's Brain - Decoding Bill Gates zeichnet das teils emotionale Porträt eines introvertierten und schlauen Nerds, schweift aber leider zu oft in die gemeinnützige Arbeit des Microsoft-Gründers ab.
Eine Rezension von Oliver Nickel

  1. Microsoft Netflix bringt dreiteilige Dokumentation über Bill Gates

Telekom Smart Speaker im Test: Der smarte Lautsprecher, der mit zwei Zungen spricht
Telekom Smart Speaker im Test
Der smarte Lautsprecher, der mit zwei Zungen spricht

Die Deutsche Telekom bietet derzeit den einzigen smarten Lautsprecher an, mit dem sich parallel zwei digitale Assistenten nutzen lassen. Der Magenta-Assistent lässt einiges zu wünschen übrig, aber die Parallelnutzung von Alexa funktioniert schon fast zu gut.
Ein Test von Ingo Pakalski

  1. Smarte Lautsprecher Amazon liegt nicht nur in Deutschland vor Google
  2. Pure Discovr Schrumpfender Alexa-Lautsprecher mit Akku wird teurer
  3. Bose Portable Home Speaker Lautsprecher mit Akku, Airplay 2, Alexa und Google Assistant

    •  /