Typo3: Kritische Sicherheitslücke in älteren CMS-Versionen entdeckt

Eine Sicherheitslücke soll den Frontend-Login in ältere Versionen von Typo3 allein durch die Eingabe eines registrierten Benutzernamens ermöglichen. Ein Passwort werde nicht benötigt.

In Pocket speichern vorlesen Druckansicht 29 Kommentare lesen
Lesezeit: 1 Min.
Von
  • Martin Reche

Vor einer als kritisch eingestuften Sicherheitslücke warnen die Entwickler des Content Management Systems (CMS) Typo3 eindringlich auf ihrer Homepage. Bei älteren Versionen sei es möglich, sich durch das alleinige Eingeben eines registrierten Benutzernamens über das Frontend einzuloggen. Ein Passwort werde bei den betroffenen Versionen nicht benötigt.

Die Sicherheitslücke betrifft folgende Typo3-Versionen: 4.3.0 bis 4.3.14, 4.4.0 bis 4.4.15, 4.5.0 bis 4.5.39 und 4.6.0 bis 4.6.18. Der Fehler trete aber nur dann auf, wenn bei den genannten Versionen die Systemerweiterung Rsaauth aktiviert und wie folgt konfiguriert wurde:

$GLOBALS['TYPO3_CONF_VARS']['FE']['loginSecurityLevel'] = 'rsa'

Der Entwickler empfiehlt zur Lösung ein Update auf Version 4.5.40. Alternativ können Nutzer die Sicherheitslücke durch das Patchen wahlweise per Shell Script oder diff schließen. Nutzer aktuellerer Typo3-Versionen ab 4.7.0, die bereits vor drei Jahren veröffentlicht wurde, sind von der Sicherheitslücke nicht betroffen. (mre)