Kritische Sicherheitslücke in TYPO3 Version 4.3 – 8.1
Am Dienstag, den 24.05. wurden neue TYPO3 Updates veröffentlicht, um eine kritische Sicherheitslücke zu schließen, welche alle TYPO3 Versionen ab 4.3 betrifft. Der Grund hierfür ist, dass die Sicherheitslücke in der Extbase-Erweiterung gefunden wurde. Diese ist seit TYPO3 4.3 bestand des TYPO3-Kerns und Grundlage für viele weitere Extensions. Bereits eine Woche zuvor wurde vom TYPO3 Security Team bekannt gegeben, dass eine Sicherheitlücke entdeckt wurde und somit dringend empfohlen wird, dass nächste Update zu übernehmen.
Erläuterung der Sicherheitslücke
Extbase ist eine Art Framework, welche den TYPO3 Entwicklern als Basis dient, um eigene Erweiterungen zu schreiben. In diesen Erweiterung werden verschiedene sogenannte Actions (dt: Aktionen) definiert, welche spezifische Aufgaben erfüllen. Zum Beispiel stellt die Auflistung von Artikeln eine Aktion dar, die Anzeige eines einzelnen wiederum eine andere. Es wurde nun ersichtlich, dass eine Zugriffsprüfung bei dem Aufruf der Aktionen fehlt. Sobald ein Angreifer Zugriff auf eine Aktion hat, kann er weitere Aktionen ausführen, ohne das nochmal geprüft wird, ob er diese überhaupt ausführen darf. In Abhängigkeit von der Aktion, auf welche der Angreifer bereits Zugriff hat, kann er so weiteren, fremden Code ausführen und Informationen aus dem System beziehen. Diese potentielle Gefahrenquelle gilt es umgehend zu eliminieren.
Betroffene Webseiten
Kurz und knapp, sobald Sie eine TYPO3-Webseite haben, welche nicht vor Ende 2009 entwickelt und seitdem auch nicht mehr aktualisiert wurde, dann ist Ihre Webseite betroffen. Wie gesagt, jede Version ab der 4.3 ist betroffen, somit auch die derzeitigen Long Term Support Versionen TYPO3 6.2 und 7.6. Wer jetzt meint, dass es ja dann besser sei, ältere Versionen zu benutzen der irrt sich. Diese Versionen werden generell nicht mehr unterstützt. Es wird nicht mehr geschaut, ob hier Sicherheitslücken existieren und auch keine Lösungen angeboten. Diese Seiten sind auf jeden Fall unsicher. Daher empfehlen wir unseren Kunden generell immer eine Long Term Support Version zu nutzen. Somit können solche Sicherheitslücken schnell geschlossen werden.
Schließen der Sicherheitslücke
Die gestrige Sicherheitslücke kann bei den älteren Versionen über einen sogenannten Patch geschlossen werden, da es sich hier um eine kritische Sicherheitslücke handelt. Patches sind Dateien in denen Beschrieben ist, welche Dateien im System geändert werden müssen, um einen Fehler zu beheben oder eine neue Funktion zu integrieren. Die Patches und die offizielle Erklärung zur Sicherheitslücke finden Sie hier. Sollen wir den Patch bei Ihrer Webseite einspielen oder haben Sie weitere Fragen zur Sicherheitslücke oder Support allgemein, nehmen Sie einfach Kontakt zu uns auf.
