Sicherheitsupdate für TYPO3: Verbesserte Authentifizierung und Session Management

15.11.2023
In diesem Artikel werden wir über ein wichtiges Sicherheitsupdate für TYPO3 informieren, das eine Schwachstelle in der Authentifizierung und im Session Handling adressiert. Die Details der Schwachstelle und die Bedeutung für TYPO3-Nutzer werden erläutert und Maßnahmen zur Absicherung der Webseiten aufgezeigt.

TYPO3 ist weit verbreitet und beliebt für seine Flexibilität und Erweiterbarkeit als Content-Management-System. Jedoch ist kein System immun gegen Sicherheitslücken, und eine aktuelle Veröffentlichung unterstreicht die Wichtigkeit von regelmäßigen Updates und Wartung. Eine Schwachstelle, die kürzlich in der Authentifizierung und im Session Management von TYPO3 festgestellt wurde, könnte es ermöglichen, dass Session-Cookies zwischen zwei verschiedenen Domains innerhalb der gleichen TYPO3-Installation wiederverwendet werden – ohne dass eine zusätzliche Authentifizierung erforderlich ist. Betroffen sind verschiedene Versionen, von 8.0.0 bis zur 12.4.7.

Dieses Szenario ist besonders relevant für TYPO3-Installationen, bei denen mehrere Websites verwaltet werden. Die Schwachstelle betrifft hauptsächlich das Frontend und würde ausgenutzt werden, wenn bereits gültige Nutzerkonten vorhanden sind. Als Reaktion auf diese Erkenntnisse hat TYPO3 Updates für verschiedene Versionen veröffentlicht, die das Problem beheben. Nutzer sollten auf Versionen 8.7.55 ELTS, 9.5.44 ELTS, 10.4.41 ELTS, 11.5.33 oder 12.4.8 aktualisieren.

Wir möchten diesen Vorfall zum Anlass nehmen, die Bedeutung eines proaktiven Sicherheitskonzepts zu betonen. Neben der sofortigen Aktualisierung von TYPO3 empfehlen wir, regelmäßig den TYPO3 Sicherheitsleitfaden zu konsultieren und Sicherheitsmaßnahmen strikt zu befolgen. Abonnements für Sicherheitsmeldungen wie die typo3-announce Mailingliste sind zusätzliche hilfreiche Ressourcen.

Kennen Sie schon unsere
TYPO3-Update-Flatrate?

Gerne bieten wir Ihnen unsere TYPO3-Update-Flatrate an. Wir halten Ihre Seite ganz ohne ihr Zutun im Hintergrund immer aktuell. Auch über Major-Versionen hinweg.
Das Beste: Wir veranschlagen dafür einen monatlichen Festpreis - garantiert keine versteckten Kosten.

Lassen Sie Ihre Kontaktdaten im nachfolgenden Formular, um weitere Informationen zu erhalten.

We will never pass this number to someone else.
Only for processing this request. We will never sent spam.
Logo

eine Marke der
invokable GmbH
Telefon: 02195 5882 50
E-Mail: info@invokable.gmbh

Kratzberger Str. 9
42855 Remscheid

Additional links

Imprint

Copyright © 2024