Kritische Sicherheitslücken in Typo3-Add-ons
Es gibt wichtige Sicherheitsupdates für die Typo3-Add-ons Magalone Flipbook for Typo3, phpmyadmin und PHPUnit.
(Bild: AFANASEV IVAN/Shutterstock.com)
Wer auf seiner mit Typo3 erstellten Website die optionalen Add-ons Magalone Flipbook for Typo3, phpmyadmin oder PHPUnit einsetzt, sollte die Erweiterungen aus Sicherheitsgründen zügig aktualisieren. Andernfalls könnten Angreifer Seiten attackieren und unter Umständen Schadcode ausführen. In so einem Fall gilt eine Website in der Regel als kompromittiert.
Gefährliche Sicherheitslücken
Das Angriffsrisiko für die Schwachstellen in Magalone Flipbook for Typo3 gilt als "kritisch". CVE-Nummern wurden noch nicht vergeben. Um an den Lücken anzusetzen, muss ein Angreifer in der Position eines authentifizierten Backend-Nutzers sein. Dann könnte er Dateien auf einem Webserver überschreiben oder sogar eigenen Code ausführen. Die Ausgabe 1.0.5 ist abgesichert. Alle vorigen Versionen sollen betroffen sein. Die alleinige Installation des Sicherheitspatches reicht zur Absicherung aber noch nicht aus und Nutzer müssen im Dateipfad fileadmin/user_upload/magalone/ in den Unterverzeichnissen alle upload.php-Dateien manuell löschen.
Die Lücke in PHPUnit gilt ebenfalls als "kritisch". Attacken sind aber nur möglich, wenn das Verzeichnis vendor öffentlich erreichbar ist. Auch hier gibt es noch keine CVE-Nummer. Die Entwickler haben den Fehler in der Ausgabe 6.5.15 ausgebügelt.
Das Add-on phpmyadmin ist über zwei Lücken (CVE-2019-18622, CVE-2020-5504) angreifbar. Das Angriffsrisiko ist als "hoch" eingestuft. Hier könnten Angreifer für SQL-Injection-Attacken ansetzen. Wer das Add-on nutzt, sollte die reparierte Version 5.5.0 installieren. Vorige Ausgaben sind verwundbar.
Zusätzlich weist das Typo3-Team im Kontext der Add-ons phpmyadmin und PHPUnit noch darauf hin, aus Sicherheitsgründen besser keine Entwicklungswerkzeuge und Datenbankmanagement-Tools in Produktivumgebungen einzusetzen.
Liste nach Bedrohungsgrad absteigend sortiert:
- Remote Code Execution in extension "PHPUnit"
- Multiple vulnerabilities in extension "Magalone Flipbook for TYPO3"
- SQL Injection in extension "phpmyadmin"
[UPDATE, 12.03.2020 13:40 Uhr]
Verzeichnispfad im Fließtext korrigiert. Allgemeine Sicherheitspempfehlung des Typo3-Teams ergänzt. (des)
