Abo
  • Services:
Anzeige
Über eine Schwachstelle in Typo3 können sich Nutzer ohne Passworteingabe anmelden.
Über eine Schwachstelle in Typo3 können sich Nutzer ohne Passworteingabe anmelden. (Bild: Typo3)

CMS: Sicherheitslücke in Typo3

Über eine Schwachstelle in Typo3 können sich Nutzer ohne Passworteingabe anmelden.
Über eine Schwachstelle in Typo3 können sich Nutzer ohne Passworteingabe anmelden. (Bild: Typo3)

Über eine gravierende Sicherheitslücke in alten Versionen des CMS Typo3 kann sich jeder authentifizieren, der nur den Namen eines registrierten Benutzers kennt. Es gibt Updates und einen Patch.

Anzeige

Die Entwickler des CMS Typo3 warnen vor einer gravierenden Sicherheitslücke. Darüber kann sich jeder authentifizieren, wenn ihm nur der Name eines bereits registrierten Benutzers bekannt ist - denn ein Passwort wird nicht abgefragt. Das Typo3-Team hat bereits Updates und einen Patch bereitgestellt.

Von der Schwachstelle betroffen ist das Frontend des CMS. Das Backend ist sicher. Die Schwachstelle tritt in vielen älteren Versionen des CMS auf, darunter 4.3.0 bis 4.3.14, 4.4.0 bis 4.4.15, 4.5.0 bis 4.5.39 sowie 4.6.0 bis 4.6.18. Der Konfigurationsfehler befindet sich in der Systemerweiterung Rsaauth. Nur wenn diese Erweiterung für das Frontend-Login konfiguriert ist, tritt das Problem auf. Alle Versionen ab 4.7.0 sind sicher.

Die Entwickler raten dringend zu einem Update auf die Version 4.5.40, in der das Problem behoben wurde. Alternativ kann man auch ein Update auf einen neueren Versionszweig durchführen, 6.2.9 und 7.0.2 werden aktuell unterstützt. Außerdem haben die Entwickler ein Shell-Skript zur Verfügung gestellt, mit dem betroffene Installationen gepatcht werden können. Zusätzlich lässt sich die Schwachstelle mit einer Diff-Datei schließen.


eye home zur Startseite
M. 23. Feb 2015

Ja, aber vermutlich wird ein 'leerer' $this->login['uname'] (Username) nicht weit...

b5g2k 23. Feb 2015

Ja der Bug ist alt und wurde erst jetzt gefunden... allemal besser als die Microsoft...



Anzeige

Stellenmarkt
  1. Robert Bosch GmbH, Reutlingen, Dresden
  2. Landeshauptstadt München, München
  3. SYNCHRON GmbH, Stuttgart
  4. Ria Deutschland GmbH, Berlin


Anzeige
Spiele-Angebote
  1. 189,99€
  2. (-70%) 5,99€
  3. (-73%) 7,99€

Folgen Sie uns
       


  1. DMT Bonding

    Telekom probiert 1 GBit/s ohne Glasfaser aus

  2. Telekom-Software

    Cisco kauft Broadsoft für knapp 2 Milliarden US-Dollar

  3. Pubg

    Die blaue Zone verursacht künftig viel mehr Schaden

  4. FSFE

    "War das Scheitern von Limux unsere Schuld?"

  5. Code-Audit

    Kaspersky wirbt mit Transparenzinitiative um Vertrauen

  6. iOS 11+1+2=23

    Apple-Taschenrechner versagt bei Kopfrechenaufgaben

  7. Purism Librem 13 im Test

    Freiheit hat ihren Preis

  8. Andy Rubin

    Drastischer Preisnachlass beim Essential Phone

  9. Sexismus

    US-Spielforum Neogaf offenbar abgeschaltet

  10. Kiyo und Seiren X

    Razer bringt Ringlicht-Webcam für Streamer



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Flettner-Rotoren: Wie Schiffe mit Stahlsegeln Treibstoff sparen
Flettner-Rotoren
Wie Schiffe mit Stahlsegeln Treibstoff sparen
  1. Hyperflight China plant superschnellen Vactrain
  2. Sea Bubbles Tragflächen-Elektroboote kommen nach Paris
  3. Honolulu Strafe für Handynutzung auf der Straße

Gran Turismo Sport im Test: Puristischer Fahrspaß - fast nur für Onlineraser
Gran Turismo Sport im Test
Puristischer Fahrspaß - fast nur für Onlineraser

Passwortmanager im Vergleich: Das letzte Passwort, das du dir jemals merken musst
Passwortmanager im Vergleich
Das letzte Passwort, das du dir jemals merken musst
  1. Mirai-Nachfolger Experten warnen vor "Cyber-Hurrican" durch neues Botnetz
  2. Cyno Sure Prime Passwortcracker nehmen Troy Hunts Hashes auseinander
  3. Passwortmanager Lastpass ab sofort doppelt so teuer

  1. Günstiger?

    dxp | 17:41

  2. Re: Wir kolonialisieren

    Der Held vom... | 17:40

  3. Re: Wird auch Zeit

    gaym0r | 17:38

  4. Re: Kaputte Tastatur

    non_existent | 17:31

  5. Re: Vermutlich wurde der Taschenrechner in Java...

    CHU | 17:28


  1. 17:38

  2. 16:38

  3. 16:28

  4. 15:53

  5. 15:38

  6. 15:23

  7. 12:02

  8. 11:47


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel