2017-1553: TYPO3: Mehrere Schwachstellen ermöglichen u.a. das Ausführen beliebigen Programmcodes

Historie:

Version 1 (2017-09-05 16:45)

Neues Advisory

Betroffene Software

Server

Betroffene Plattformen

Linux
Microsoft

Beschreibung:

Mehrere Schwachstellen in TYPO3 ermöglichen einem entfernten, einfach authentisierten Angreifer die Durchführung eines Cross-Site-Scripting-Angriffs, das Ausspähen von Informationen und das Ausführen beliebigen Programmcodes. Eine weitere Schwachstelle in TYPO3 ermöglicht einem entfernten, nicht authentisierten Angreifer ebenfalls das Ausspähen von Informationen.

Es stehen Sicherheitsupdates für TYPO3 auf Version 7.6.22 und 8.7.5 zur Verfügung, um die Schwachstellen zu beheben. Die Cross-Site-Scripting-Schwachstelle betrifft lediglich den aktuellen Versionszweig TYPO3 8.

Das Ausführen beliebigen Programmcodes soll durch den neuen Standardeintrag für die Option 'fileDenyPattern' verhindert werden:

'\.(php[3-7]?|phpsh|phtml|pht)(\..*)?$|^\.htaccess$'

Die Konfiguration von 'fileDenyPattern' ist daher nach der Installation nochmals auf Korrektheit zu überprüfen.

Schwachstellen:

TYPO3-CORE-SA-2017-004

Schwachstelle in TYPO3 ermöglicht Cross-Site-Scripting

TYPO3-CORE-SA-2017-005

Schwachstelle in TYPO3 ermöglicht Ausspähen von Informationen

TYPO3-CORE-SA-2017-006

Schwachstelle in TYPO3 ermöglicht Ausspähen von Informationen

TYPO3-CORE-SA-2017-007

Schwachstelle in TYPO3 ermöglicht Ausführen beliebigen Programmcodes

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.