sector27
Newsmeldungen
SCHWACHSTELLENBESCHREIBUNG:
Die beschriebene Schwachstelle „Cross-Site Scripting“ ermöglicht aufgrund einer Drittbibliothek die Integration fremden Codes in die Webseite. Dafür ist ein Zugang entweder als Redakteur oder per Remote-Verbindung direkt auf den Server notwendig. Innerhalb des Installtools (zur Einrichtung und Konfiguration von TYPO3) werden Informationen zur verwendeten TYPO3 Version publiziert. Diese ermöglichen bzw. vereinfachen Angriffe auf das System. Dritte können innerhalb des InstallTools per "Security Misconfiguration bestehende Sitzungen übernehmen bzw. fremdsteuern. Durch gezielte Aufrufe von speziellen Adressen / Funktionen kann die Leistungsfähigkeit der TYPO3 Installation derart beeinträchtigt werden, dass der Webauftritt für weitere Besucher nicht mehr erreichbar ist "Denial of Service".
RELEVANZ:
Betroffen sind die TYPO3 LTS-Versionen 7.6, 8.7 und 9.5. Achtung: Aufgrund der Schwere der Sicherheitsschwachstellen hat das TYPO3 Security Team bereits aktualisierte Pakete zum jeweiligen TYPO3 Kern bereitgestellt.
EMPFEHLUNG:
Das Secuity Team von TYPO3 stuft diese Schwachstelle mit niedrieger und mittlerer Schwere ein und empfiehlt eine Aktualisierung des TYPO3 Kerns. Entsprechende Updates und Patches wurden bereits veröffentlicht. Wir von sector27 schließen uns dieser Einschätzung an und empfehlen eine zeitnahe Aktualisierung.
Weitere Informationen erhalten Sie im "Securitiy Advisory Board" der TYPO3 Association:
- https://typo3.org/article/typo3-952-8721-and-7632-security-releases-published/
- https://typo3.org/security/advisory/typo3-core-sa-2018-005/
- https://typo3.org/security/advisory/typo3-core-sa-2018-006/
- https://typo3.org/security/advisory/typo3-core-sa-2018-007/
- https://typo3.org/security/advisory/typo3-core-sa-2018-008/
- https://typo3.org/security/advisory/typo3-core-sa-2018-009/
- https://typo3.org/security/advisory/typo3-core-sa-2018-010/
- https://typo3.org/security/advisory/typo3-core-sa-2018-011/
- https://typo3.org/security/advisory/typo3-core-sa-2018-012/