Abo
  • IT-Karriere:

CMS: Sicherheitslücke in Typo3

Über eine gravierende Sicherheitslücke in alten Versionen des CMS Typo3 kann sich jeder authentifizieren, der nur den Namen eines registrierten Benutzers kennt. Es gibt Updates und einen Patch.

Artikel veröffentlicht am ,
Über eine Schwachstelle in Typo3 können sich Nutzer ohne Passworteingabe anmelden.
Über eine Schwachstelle in Typo3 können sich Nutzer ohne Passworteingabe anmelden. (Bild: Typo3)

Die Entwickler des CMS Typo3 warnen vor einer gravierenden Sicherheitslücke. Darüber kann sich jeder authentifizieren, wenn ihm nur der Name eines bereits registrierten Benutzers bekannt ist - denn ein Passwort wird nicht abgefragt. Das Typo3-Team hat bereits Updates und einen Patch bereitgestellt.

Stellenmarkt
  1. Rabobank International Frankfurt Branch, Frankfurt am Main
  2. AGF Videoforschung GmbH, Frankfurt am Main

Von der Schwachstelle betroffen ist das Frontend des CMS. Das Backend ist sicher. Die Schwachstelle tritt in vielen älteren Versionen des CMS auf, darunter 4.3.0 bis 4.3.14, 4.4.0 bis 4.4.15, 4.5.0 bis 4.5.39 sowie 4.6.0 bis 4.6.18. Der Konfigurationsfehler befindet sich in der Systemerweiterung Rsaauth. Nur wenn diese Erweiterung für das Frontend-Login konfiguriert ist, tritt das Problem auf. Alle Versionen ab 4.7.0 sind sicher.

Die Entwickler raten dringend zu einem Update auf die Version 4.5.40, in der das Problem behoben wurde. Alternativ kann man auch ein Update auf einen neueren Versionszweig durchführen, 6.2.9 und 7.0.2 werden aktuell unterstützt. Außerdem haben die Entwickler ein Shell-Skript zur Verfügung gestellt, mit dem betroffene Installationen gepatcht werden können. Zusätzlich lässt sich die Schwachstelle mit einer Diff-Datei schließen.



Anzeige
Hardware-Angebote
  1. (u. a. Ryzen 5-2600X für 184,90€ oder Sapphire Radeon RX 570 Pulse für 149,00€)
  2. (reduzierte Überstände, Restposten & Co.)
  3. 98,99€ (Bestpreis!)
  4. (u. a. Grafikkarten, Monitore, Mainboards)

M. 23. Feb 2015

Ja, aber vermutlich wird ein 'leerer' $this->login['uname'] (Username) nicht weit...

b5g2k 23. Feb 2015

Ja der Bug ist alt und wurde erst jetzt gefunden... allemal besser als die Microsoft...


Folgen Sie uns
       


Cepton Lidar angesehen

So funktioniert der Laserscanner des US-Startups Cepton.

Cepton Lidar angesehen Video aufrufen
Kontist, N26, Holvi: Neue Banking-Apps machen gute Angebote für Freelancer
Kontist, N26, Holvi
Neue Banking-Apps machen gute Angebote für Freelancer

Ein mobiles und dazu noch kostenloses Geschäftskonto für Freiberufler versprechen Startups wie Kontist, N26 oder Holvi. Doch sind die Newcomer eine Alternative zu den Freelancer-Konten der großen Filialbanken? Ja, sind sie - mit einer kleinen Einschränkung.
Von Björn König


    Lightyear One: Luxus-Elektroauto fährt auch mit Solarstrom
    Lightyear One
    Luxus-Elektroauto fährt auch mit Solarstrom

    Ein niederländisches Jungunternehmen hat ein ungewöhnliches Fahrzeug entwickelt, das Luxus und Umweltfreundlichkeit kombiniert. Solarzellen auf dem Dach erhöhen die Reichweite um bis zu 220 Kilometer.
    Von Wolfgang Kempkens

    1. EZ-Pod Renault-Miniauto soll Stadtverkehr in Kolonne fahren
    2. Elektromobilität EnBW will weitere 2.000 Schnellladepunkte errichten
    3. Elektromobilität Verkehrsminister will Elektroautos länger und mehr fördern

    Motorola One Vision im Hands on: Smartphone mit 48-Megapixel-Kamera für 300 Euro
    Motorola One Vision im Hands on
    Smartphone mit 48-Megapixel-Kamera für 300 Euro

    Motorola bringt ein weiteres Android-One-Smartphone auf den Markt. Die Neuvorstellung verwendet viel Samsung-Technik und hat ein sehr schmales Display. Die technischen Daten sind für diese Preisklasse vielversprechend.
    Ein Hands on von Ingo Pakalski

    1. Moto G7 Power Lenovos neues Motorola-Smartphone hat einen großen Akku
    2. Smartphones Lenovo leakt neue Moto-G7-Serie

      •  /