Cert.at warnt vor einer Lücke in Typo3

19. Februar 2015, 11:43
posten

Angreifer können ohne gültigen Username/Passwort im Frontend Bereich einloggen

Cert.at warnt vor einer Lücke in dem Content Management Systemen Typo3. Typo3 Core enthält einen Fehler in Zusammenhang mit der 'rsaauth' Komponente, der dazu führen kann, dass sich ein Angreifer ohne gültigen Username/Passwort im Frontend Bereich (nicht im Backend) einloggen kann.

Da das Typo3-Backend nicht betroffen ist, wird in üblichen Setups eine Veränderung des eigentlichen Webseiten-Inhalts nicht möglich sein.

Betroffene Systeme

Alle Typo3-Installationen in den folgenden Versionen:

* 4.3.0 bis 4.3.14

* 4.4.0 bis 4.4.15

* 4.5.0 bis 4.5.39

* 4.6.0 bis 4.6.18

_wenn_ noch folgende Voraussetzungen zutreffen:

* Zugriffsbeschränkte Frontend Area (frontend login)

* Extension 'rsaauth' ist geladen

* Extension 'rsaauth' ist für Frontend Usage konfiguriert

Wenn die Externsion 'rsaauth' nicht konfiguriert ist, ist Typo3 nicht für diese Lücke anfällig. Typo3 in Versionen 4.7.0 und neuer sind nicht betroffen. (red, 19.2.2015)

Link

Cert.at

Share if you care.