Die Entwickler des Content Management Systems (CMS) Typo3 warnen eindringlich auf ihrer Homepage vor einer als kritisch eingestuften Sicherheitslücke. Alleine durch das Eingeben eines registrierten Benutzernamens über das Frontend sei es möglich sich bei älteren Versionen einzuloggen. Bei den betroffenen Versionen werde ein Passwort nicht benötigt.

Folgende Typo3-Versionen sind von der Sicherheitslücke betroffen:

- 4.3.0 bis 4.3.14
- 4.4.0 bis 4.4.15
- 4.5.0 bis 4.5.39
- 4.6.0 bis 4.6.18

Der Fehler soll nur dann auftreten, wenn bei den betroffenen Versionen die Systemerweiterung Rsaauth aktiviert und folgendermaßen konfiguriert wurde:

$GLOBALS['TYPO3_CONF_VARS']['FE']['loginSecurityLevel'] = 'rsa'

Zur Lösung empfiehlt der Entwickler ein Update auf Version 4.5.40. Durch das Patchen wahlweise per diff oder Shell Script können Nutzer die Sicherheitslücke ebenfalls schließen. Typo3-Versionen ab Version 4.7.0 sind von der Sicherheitslücke nicht betroffen. Diese Version wurde vor 3 Jahren veröffentlicht.

(nd, hannover)

(siehe auch heise-News-Ticker:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE