Sicherheitsupdates: Angreifer könnte Passwörter in Typo3 überschreiben

Websolution TYPO3 | 18.07.2018 | Kategorie: IT - Sicherheit, Update

Im freien Content Management System Typo3 klaffen mitunter kritische Sicherheitslücken. Patches schliessen mehrere Schwachstellen.

Admins sollten ihre installierten Versionen des Content Management Systems (CMS) Typo3 prüfen und aktualisieren. In einer Ankündigung warnen die Entwickler vor vier Sicherheitslücken. Je nach Einstellungen des CMS gilt eine Schwachstelle als “kritisch”. Die restlichen weisen den Bedrohungsgrad “hoch” auf. Dieser Einschätzung schliesst sich auch das CERT Bund vom Bundesamt für Sicherheit in der Informationstechnik (BSI) an.

Die Typo3-Erweiterung zur sicheren Verwahrung von Passwörtern (Hash und Salt) ist verwundbar. Kommt der Hashing-Algorithmus Blowfish zum Einsatz, könnten Angreifer unter gewissen Umständen Kennwörter überschreiben. Standardmässig setzt das CMS auf den PHP-Hashing-Algorithmus PHPass, der nicht dafür anfällig sein soll.

Setzen Angreifer bei den anderen Lücken an, solle sich sich höhere Rechte erschleichen und sogar Schadcode ausführen können. Die Ausgaben von Typo3 7.6.30 LTS, 8.7.17 LTS und 9.3.1 sind abgesichert.
(des)

Integriert von Heise Security – www.heise.de

Links:: www.heise.de/security/meldung/Sicherheitsupdates-Angreifer-koennte-Passwoerter-in-Typo3-ueberschreiben-4111640.html

zurück