Wichtige Sicherheitsaktualisierung für TYPO3: Behebung der Pfadtransversale in FAL

14.02.2024
Eine kritische Sicherheitslücke bezüglich Pfadtransversale wurde in TYPO3 identifiziert, die die Komponente 'File Abstraction Layer' betrifft. Erfahren Sie, welche Schritte unternommen werden sollten.

Bei der laufenden Sicherheitsprüfung unserer TYPO3-Webprojekte ist uns eine signifikante Schwachstelle aufgefallen, die unsere Aufmerksamkeit erfordert. Es handelt sich hierbei um eine Path-Traversal-Verwundbarkeit in der File Abstraction Layer (FAL), welche in verschiedenen TYPO3-Versionen gefunden wurde. Diese betrifft die Versionen 8.0.0 bis 13.0.0 und wurde mit einer mittleren Schwere eingestuft.

Die Ursache des Problems liegt darin, dass konfigurierbare Speicher, die den lokalen Treiber von FAL nutzen, so eingestellt werden konnten, dass sie auf Verzeichnisse außerhalb des Root-Verzeichnisses des entsprechenden Projekts zugreifen. Die Einstellung 'lockRootPath' im Backend wurde dabei vom FAL-Komponenten nicht beachtet. Für eine Ausnutzung dieser Schwachstelle ist ein Backend-Administratorzugang erforderlich.

Als Reaktion auf diese Entdeckung wurden Updates für die betroffenen TYPO3-Versionen veröffentlicht, die diese Sicherheitslücke schließen. Für eine Behebung des Problems sollten Nutzer auf die TYPO3-Versionen 8.7.57 ELTS, 9.5.46 ELTS, 10.4.43 ELTS, 11.5.35 LTS, 12.4.11 LTS oder 13.0.1 aktualisieren.

Zusätzlich ist es wichtig, dass die Einstellung 'lockRootPath' in den Systemeinstellungen überprüft und angepasst wird, falls erforderlich. Es ist nun möglich, zusätzlichen Verzeichniszugriff in den Einstellungen explizit zu konfigurieren, um die Sicherheitsmaßnahmen nach der neuen Richtlinie zu stärken. Storages, die nicht explizit genehmigte Verzeichnisse referenzieren, werden intern als 'offline' markiert und können nicht im Frontend oder Backend genutzt werden.

Abschließend empfehlen wir unseren Lesern, den Anweisungen aus dem TYPO3 Security Guide zu folgen und sich für die TYPO3-Ankündigungs-Mailingliste anzumelden, um immer auf dem neuesten Stand bezüglich Sicherheitshinweisen und -aktualisierungen zu sein.

Kennen Sie schon unsere
TYPO3-Update-Flatrate?

Gerne bieten wir Ihnen unsere TYPO3-Update-Flatrate an. Wir halten Ihre Seite ganz ohne ihr Zutun im Hintergrund immer aktuell. Auch über Major-Versionen hinweg.
Das Beste: Wir veranschlagen dafür einen monatlichen Festpreis - garantiert keine versteckten Kosten.

Lassen Sie Ihre Kontaktdaten im nachfolgenden Formular, um weitere Informationen zu erhalten.

We will never pass this number to someone else.
Only for processing this request. We will never sent spam.
Logo

eine Marke der
invokable GmbH
Telefon: 02195 5882 50
E-Mail: info@invokable.gmbh

Kratzberger Str. 9
42855 Remscheid

Additional links

Imprint

Copyright © 2024