Zum Hauptinhalt Zur Navigation
Abo testen Anmelden
Deals
Rack & StackSecurityWirtschaftEnergie & KlimaHardware

CMS: Sicherheitslücke in Typo3

Über eine gravierende Sicherheitslücke in alten Versionen des CMS Typo3 kann sich jeder authentifizieren, der nur den Namen eines registrierten Benutzers kennt. Es gibt Updates und einen Patch.
/ Jörg Thoma
21 Kommentare News folgen (öffnet im neuen Fenster)
Über eine Schwachstelle in Typo3 können sich Nutzer ohne Passworteingabe anmelden. (Bild: Typo3)
Über eine Schwachstelle in Typo3 können sich Nutzer ohne Passworteingabe anmelden. Bild: Typo3

Die Entwickler des CMS Typo3 warnen vor einer gravierenden Sicherheitslücke(öffnet im neuen Fenster) . Darüber kann sich jeder authentifizieren, wenn ihm nur der Name eines bereits registrierten Benutzers bekannt ist - denn ein Passwort wird nicht abgefragt. Das Typo3-Team hat bereits Updates und einen Patch bereitgestellt.

Neue Angebote bei Golem Jobs(öffnet im neuen Fenster)
Kollegiale Leitung der IT-Abteilung (d/m/w) – Schwerpunkt Rechenzentrum, Netzwerke und Storage Helmholtz-Zentrum für Umweltforschung GmbH – UFZ, Leipzig (öffnet im neuen Fenster)
Berliner Landesnetz Standardnetzzugang Koordinator*in IT-Dienstleistungszentrum (ITDZ Berlin), Berlin (öffnet im neuen Fenster)
Referent (m/w/d) für Datenmanagement im Gesundheitswesen Verband der Ersatzkassen e. V. (vdek), Berlin (öffnet im neuen Fenster)
Administrator User and Service (m/w/d) PM-International AG'', Speyer (öffnet im neuen Fenster)
Mitarbeiter IT-Support (m/w/d) Witte, Weller & Partner, Patentanwälte mbB, Stuttgart (öffnet im neuen Fenster)
Auszubildende zur Fachinformatikerin / zum Fachinformatiker der Fachrichtung Systemintegration (w/m/d) Landesamt für Zentrale Polizeiliche Dienste NRW - LZPD, Duisburg (öffnet im neuen Fenster)
Referent:in Koordination und Integration digitaler Verkehrsdaten Behörde für Verkehr und Mobilitätswende, Hamburg (öffnet im neuen Fenster)
Systemadministrator (m/w/d)* BIA-Plattformen Hallesche Krankenversicherung a. G., Stuttgart (öffnet im neuen Fenster)

Von der Schwachstelle betroffen ist das Frontend des CMS. Das Backend ist sicher. Die Schwachstelle tritt in vielen älteren Versionen des CMS auf, darunter 4.3.0 bis 4.3.14, 4.4.0 bis 4.4.15, 4.5.0 bis 4.5.39 sowie 4.6.0 bis 4.6.18. Der Konfigurationsfehler befindet sich in der Systemerweiterung Rsaauth. Nur wenn diese Erweiterung für das Frontend-Login konfiguriert ist, tritt das Problem auf. Alle Versionen ab 4.7.0 sind sicher.

Die Entwickler raten dringend zu einem Update auf die Version 4.5.40, in der das Problem behoben wurde. Alternativ kann man auch ein Update auf einen neueren Versionszweig durchführen, 6.2.9 und 7.0.2 werden aktuell unterstützt. Außerdem haben die Entwickler ein Shell-Skript(öffnet im neuen Fenster) zur Verfügung gestellt, mit dem betroffene Installationen gepatcht werden können. Zusätzlich lässt sich die Schwachstelle mit einer Diff-Datei(öffnet im neuen Fenster) schließen.

Zur Startseite 21 Kommentare

Relevante Themen

Open SourceSoftwareToolsSecuritySicherheitslückeWissenApplikationenCMS