Typo 3: Kritische Lücke geschlossen, Sicherheits-Update verfügbar
Viele ältere und aktuelle Versionen von Typo3 sind aufgrund einer Schwachstelle angreifbar. Admins sollten zügig aktualisieren.
Aufgrund einer als kritisch eingestuften Sicherheitslücke in Typo3 raten die Entwickler dringend dazu, den nun verfügbaren Sicherheits-Patch zu installieren. Die Lücke klafft in den Versionen 4.3.0 bis 8.1.0 im Extbase-Framework, warnen die Entwickler.
Besonders bedroht seien aber nur Typo3-Installationen, die mindestens eine von außen zugängliche Extbase-Aktion bereitstellen. In diesem Fall sollen Angreifer ohne Authentifizierung zuschlagen können. Andernfalls muss sich ein authentifizierter Angreifer im Backend befinden und Zugriff auf das Extbase-Modul haben.
Updates trotz Support-Ende
Die Versionen 6.2.24, 7.6.8 und 8.1.1 sind abgesichert. Bei diesen ist aber offensichtlich etwas schief gelaufen, denn die Entwickler haben nun die Regression-Fix-Versionen 6.2.25 LTS, 7.6.9 LTS und 8.1.2 veröffentlicht.
Aufgrund des Schweregrads der Lücke stehen auch für nicht mehr im Support befindliche Versionen Sicherheits-Patches zur Verfügung. Admins können die Updates auch manuell einspielen. Alternativ zum Patch stellen die Entwickler ein Skript bereit, das alle betroffenen Typo3-Versionen automatisch aktualisieren soll.
Das Extbase-Framework unterstützt Entwickler beim Erstellen von Typo3-Erweiterungen. Aufgrund einer mangelnden Überprüfung von Extbase-Aktionen sollen Angreifer Aktionen manipulieren und im schlimmsten Fall Schadcode ausführen können.
Überprüfung optimiert
Der Sicherheits-Patch soll den Umgang mit Anfragen an Extbase optimieren. Den Entwicklern zufolge ist es unwahrscheinlich, dass es aufgrund der Anpassung zu Problemen mit Erweiterungen kommt. Sollte das doch der Fall sein, versichern sie, dass Typo3 bis auf leichte Einschränkungen bei der Abwicklung der Überprüfungen von Extbase uneingeschränkt funktioniert.
[UPDATE, 24.05.2016 12:50 Uhr]
Für eine optimale Kompatibilität haben die Typo3-Entwickler mittlerweile die Regression-Fix-Versionen 6.2.25 LTS, 7.6.9 LTS und 8.1.2 veröffentlicht. Fließtext entsprechend angepasst. (des)