LIXXblog

TYPO3  -   Ina Eichhorn  -   27.02.2015  -   Tags: typo3, cms, content-management-system, sicherheitslücke, rsa authentication


Schwachstelle in RSA-Authentifizierung bei TYPO3 Versionen

Eine kürzlich entdeckte Sicherheitslücke ermöglicht den Frontend-Login in älteren TYPO3 Versionen, ohne vorherige Passworteingabe.

Die Entwickler des TYPO3 Content Management Systems warnen nachdrücklich auf ihrer Website vor dieser Sicherheitslücke. Demnach sei es möglich sich allein durch Eingabe des registrierten Benutzernamens in das Frontend des CMS einzuloggen. Die Eingabe des Passwortes sei nicht erforderlich!

https://typo3.org/teams/security/security-bulletins/typo3-core/typo3-core-sa-2015-001/

Die kritische Schachstelle betrifft die TYPO3 Versionen: 4.3.0 bis 4.6.18. Das Sicherheitsproblem tritt jedoch nur auf, wenn die Systemerweiterung Rsaauth aktiviert und konfiguriert wurde.

$GLOBALS['TYPO3_CONF_VARS']['FE']['loginSecurityLevel'] = 'rsa'

Es wird empfohlen dringend ein Update auf die Version 4.5.40 durchzuführen.
TYPO3 Nutzer ab der Version 4.7.0 sind nicht betroffen.

weiterlesen...
TYPO3  -   Ina Eichhorn  -   19.02.2015  -   Tags: typo3, cms, content-management-system, trustetHostsPattern


Neue TYPO3 Systemvariable "trustedHostsPattern"

Die neue TYPO3 Systemvariable "trustedHostsPattern" wurde eingeführt um sog. Host Spoofing Angriffe zu verhindern.

Standardmäßig wurde der HTTP Host-header bisher clientseitig gesetzt und konnte von Angreifern beliebig manipuliert werden. Nach Konfiguration des "trustedHostsPattern" Parameters wird der Host-header mit den hinterlegten Werten geprüft und abgesichert.

Der Host Pattern wird in die localconf.php bzw. LocalConfiguration.php geschrieben.

$GLOBALS['TYPO3_CONF_VARS']['SYS']['trustedHostsPattern'] = '(www\.)?domain\.de';

weiterlesen...