LIXXblog

TYPO3  -   Ina Eichhorn  -   27.02.2015  -   Tags: typo3, cms, content-management-system, sicherheitslücke, rsa authentication


Schwachstelle in RSA-Authentifizierung bei TYPO3 Versionen

Eine kürzlich entdeckte Sicherheitslücke ermöglicht den Frontend-Login in älteren TYPO3 Versionen, ohne vorherige Passworteingabe.

Die Entwickler des TYPO3 Content Management Systems warnen nachdrücklich auf ihrer Website vor dieser Sicherheitslücke. Demnach sei es möglich sich allein durch Eingabe des registrierten Benutzernamens in das Frontend des CMS einzuloggen. Die Eingabe des Passwortes sei nicht erforderlich!

https://typo3.org/teams/security/security-bulletins/typo3-core/typo3-core-sa-2015-001/

Die kritische Schachstelle betrifft die TYPO3 Versionen: 4.3.0 bis 4.6.18. Das Sicherheitsproblem tritt jedoch nur auf, wenn die Systemerweiterung Rsaauth aktiviert und konfiguriert wurde.

$GLOBALS['TYPO3_CONF_VARS']['FE']['loginSecurityLevel'] = 'rsa'

Es wird empfohlen dringend ein Update auf die Version 4.5.40 durchzuführen.
TYPO3 Nutzer ab der Version 4.7.0 sind nicht betroffen.

weiterlesen...