Sicherheits-Update: Typo3 wehrt sich gegen Lauscher
Im CMS Typo3 klaffen sieben Sicherheitslücken; darunter auch die Anfälligkeit für das httpoxy-Problem. Eine neue Version ist verfügbar.
Das freie Content Management System Typo3 ist in verschiedenen Versionen verwundbar, darauf weisen die Entwickler in ihrem Sicherheits-Bericht hin. Keine der Lücken gilt als kritisch. Die abgesicherte Version 8.2.1 steht zum Download bereit.
Drei Schwachstellen stuft das Typo3-Team mit dem Bedrohungsgrad mittel ein. Dabei handelt es sich unter anderem um eine SQL-Injection- und XSS-Lücke. Damit ein Angreifer Übergriffe einleiten kann, benötige er den Entwicklern zufolge in allen Fällen einen gültigen Nutzer-Account.
Durch die Drittanbieter-Bibliothek Guzzlehttp/Guzzle ist Typo3 für die httpoxy-Schwachstelle anfällig. An dieser könnte ein entfernter und nicht autorisierter Angreifer mit einem präparierten Proxy-Header ansetzen und Datenverkehr umleiten und belauschen. Davon sind die Typo3-Versionen 8.0.0 bis 8.2.0 bedroht. Die Entwickler stufen das Angriffsrisiko als niedrig ein. Das CERT Bund vom BSI beurteilt die Gefahrenlage anders und stuft das Risiko als hoch ein.
Das gilt auch für zwei weitere XSS-Lücken und eine weitere Schwachstelle, über die Angreifer unter Umständen gültiger Backend-Nutzernamen auslesen können.
(UPDATE, 21.07.2016 20:20 Uhr)
Schreibfehler korrigiert. (des)
