2016-0829: TYPO3: Eine Schwachstelle ermöglicht die Kompromittierung des Systems

Historie:

Version 1 (2016-05-24 13:28)

Neues Advisory

Version 2 (2016-05-24 15:37)

TYPO3 informiert kurzfristig über eine Regression, die durch die Sicherheitsupdates TYPO3 CMS 6.2.24, TYPO3 CMS 7.6.8 und TYPO3 CMS 8.1.1 eingeführt wurde, und stellt die fehlerbereinigten Versionen 6.2.25 LTS, 7.6.9 LTS und 8.1.2 zur manuellen Installation bereit (siehe hierzu auch Heise Security Artikel).

Betroffene Software

Server

Betroffene Plattformen

Beschreibung:

Ein entfernter, nicht authentifizierter Angreifer kann die Schwachstelle zur Ausführung beliebiger Befehle ausnutzen und damit das TYPO3-System komplett kompromittieren. TYPO3 stellt die Versionen 6.2.24, 7.6.8 und 8.1.1 als Sicherheitsupdates zur Behebung der Schwachstelle bereit und empfiehlt aufgrund der Kritikalität der Schwachstelle allen Nutzern der Versionen 4.3.0 bis 8.1.0 eine zügige Installation der Sicherheitsupdates. TYPO3-Installationen, die wenigsten eine öffentlich verfügbare Extbase Aktion bereitstellen, sind ohne weitere Authentifikation angreifbar. TYPO3-Installationen, die solche Aktionen nicht anbieten, sind durch authentifizierte Backend-Benutzer, welche Zugriff auf Backend-Module haben, die auf Extbase basieren, angreifbar.

Schwachstellen:

TYPO3-CORE-SA-2016-013

Schwachstelle in TYPO3 ermöglicht Ausführung beliebigen Programmcodes

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.