Sicherheitswarnung: TYPO3-CORE-SA-2024-003 offenbart Passworthashes im Backend

14.02.2024
Ein kürzlich entdecktes Sicherheitsproblem in TYPO3 könnte Angreifern Zugang zu verschlüsselten Passwörtern gewähren. Dies betrifft mehrere Versionen des Content-Management-Systems. Ein Update ist unerlässlich, um die Sicherheit Ihrer Website zu gewährleisten.

Es wurde kürzlich festgestellt, dass das Content-Management-System TYPO3 eine Sicherheitslücke aufweist, die zu einer unbeabsichtigten Veröffentlichung von verschlüsselten Passwörtern führen kann. Die Schwachstelle, identifiziert als TYPO3-CORE-SA-2024-003, betrifft die Formular-Engine-Komponente im Backend von TYPO3 und wurde mit einem mittleren Schweregrad eingestuft. Betroffen sind die Versionen 8.0.0 bis 13.0.0, und es wurde ein entsprechender CVE-Eintrag (CVE-2024-25118) veröffentlicht.\n\nDie Problembeschreibung deutet darauf hin, dass Passworthashes in den Bearbeitungsformularen der TYPO3-Backend-Benutzeroberfläche reflektiert wurden. Das könnte es einem Angreifer ermöglichen, mithilfe von Brute-Force-Techniken das dazugehörige Klartextpasswort herauszufinden. Um diese Schwachstelle auszunutzen, ist jedoch ein gültiger Backend-Benutzeraccount mit Zugriff auf entsprechende Passworteingabefelder erforderlich.\n\nAls Lösung werden aktualisierte TYPO3-Versionen empfohlen, die speziell für die Behebung dieses Problems entwickelt wurden. Die entsprechenden Versionen sind: 8.7.57 ELTS, 9.5.46 ELTS, 10.4.43 ELTS, 11.5.35 LTS, 12.4.11 LTS und 13.0.1. Es ist von größter Bedeutung, dass Administratoren von TYPO3-Websites diese Updates so schnell wie möglich durchführen, um das Risiko eines Datenschutzverstoßes zu minimieren.\n\nEine generelle Empfehlung für TYPO3-Benutzer ist es, den Leitfaden zur Sicherheit im TYPO3 Security Guide zu folgen und sich für die TYPO3-Ankündigungs-Mailingliste anzumelden, um zeitnah über ähnliche Sicherheitsprobleme informiert zu werden.\n\nWir möchten auch den Beitrag von Christian Kuhn, Maximilian Beckmann, Klaus-Günther Schmidt und Oliver Hader würdigen, die an der Entdeckung, Meldung und Behebung dieses Sicherheitsproblems beteiligt waren.

Kennen Sie schon unsere
TYPO3-Update-Flatrate?

Gerne bieten wir Ihnen unsere TYPO3-Update-Flatrate an. Wir halten Ihre Seite ganz ohne ihr Zutun im Hintergrund immer aktuell. Auch über Major-Versionen hinweg.
Das Beste: Wir veranschlagen dafür einen monatlichen Festpreis - garantiert keine versteckten Kosten.

Lassen Sie Ihre Kontaktdaten im nachfolgenden Formular, um weitere Informationen zu erhalten.

We will never pass this number to someone else.
Only for processing this request. We will never sent spam.
Logo

eine Marke der
invokable GmbH
Telefon: 02195 5882 50
E-Mail: info@invokable.gmbh

Kratzberger Str. 9
42855 Remscheid

Additional links

Imprint

Copyright © 2024