Content Management in der Praxis

Kritische Sicherheitslücke in allen TYPO3-Versionen (updated)

06.10.10 09:27:54

Eine gerade im Systemkern des CMS TYPO3 entdeckte Sicherheitslücke wurde als kritisch eingstuft. Sie betrifft alle TYPO3-Versionen, also auch jene älteren, die nicht mehr unterstützt werden.

Am heutigen Mittwoch um 11:00 Uhr CEST wird ein Update für die aktuellen Versionen bereitgestellt. Für die älteren Versionen werden Anweisungen veröffentlicht, wie gegen die Lücke vorzugehen ist.

Nähere Informationen gibt es noch nicht, da das Security-Team bisher nur eine Vorankündigung veröffentlicht hat. Da es sich um eine kritische Sicherheitslücke handelt, sollten alle TYPO3-Administratoren schnellstmöglich und am besten heute noch das Update einspielen.

Update 06.10.10, 11:00 Uhr

Mittlerweile ist bekannt geworden, wie sich die Sicherheitslücke zusammensetzt. Der kritische Teil des Security-Bulletins betrifft jumpUrl: aufgrund einer unzureichenden Hash-Prüfung kann ein Angreifer ohne ins Backend eingeloggt zu sein die Zugangskontrolle umgehen und Zugriff auf Dateien jeder Art im Webspace nehmen.

Außer dieser gibt es noch drei weitere Lücken, für die jedoch ein Login im Backend erforderlich ist.

Alle diese Lücken betreffen 4.2.14 und kleiner, 4.3.6 und kleiner sowie 4.4.3 und kleiner.  Ein Update auf die jeweils aktuellste Version von TYPO3 - 4.2.15, 4.3.7 oder 4.4.4 - ist also dringend angeraten.

Hinweise zum Patchen von älteren TYPO3-Versionen sowie Hinweise zur Installation finden Sie im TYPO3-Security-Bulletin TYPO3-SA-2010-020.