Wichtiges Sicherheitsupdate für die OpenID Connect Authentication Erweiterung in TYPO3

03.04.2024
Eine kritische Sicherheitslücke wurde in der beliebten TYPO3-Erweiterung 'OpenID Connect Authentication' entdeckt. Dieser Artikel erläutert die Schwachstelle, ihre Auswirkungen und wie Website-Betreiber handeln sollten.

In der TYPO3-Welt hat Sicherheit oberste Priorität, und eine aktuelle Entdeckung unterstreicht die Notwendigkeit, wachsam zu bleiben. Nutzer der 'OpenID Connect Authentication' (oidc) Erweiterung sollten aufmerksam werden: Es wurde ein Authentifizierungsbypass identifiziert, der die Sicherheit von Websites beeinträchtigen kann. Hier sind die wichtigen Details, die Sie kennen müssen, um Ihre Website zu schützen.

Schwachstelle identifiziert: Die Authentifizierungsdienste der oidc-Erweiterung überprüfen nicht den OpenID Connect Authentifizierungsstatus aus der Nutzerabfragekette. Stattdessen authentifizieren sie jeden gültigen Frontend-Nutzer aus dieser Kette, sofern das Frontend-Nutzerfeld 'tx_oidc' nicht leer ist.

Risikofaktoren: Wenn die Erweiterung 'felogin' aktiv ist oder die Einstellung $GLOBALS['TYPO3_CONF_VARS'][‘FE’][‘checkFeUserPid’] deaktiviert wurde, könnte ein Angreifer sich Zugang zu OpenID Connect Frontend-Nutzerkonten verschaffen, indem er einen gültigen Benutzernamen und irgendein Passwort eingibt.

Betroffene Versionen: Alle Versionen bis einschließlich 2.0.0.

Handlungsempfehlungen: Ein Update auf die neue Version 2.1.0 wird dringend empfohlen. Dieses ist über den TYPO3-Erweiterungsmanager, packagist und unter der Adresse https://extensions.TYPO3.org/extension/download/oidc/2.1.0/zip verfügbar. Nutzer der Erweiterung sollten das Update umgehend durchführen.

Es ist entscheidend, dem Rat und den Anweisungen des aktualisierten TYPO3 Security Guide zu folgen und sich für die Sicherheits-Updates über die 'TYPO3-announce' Mailingliste zu registrieren. Nur durch konsequentes Handeln kann die Sicherheit Ihrer Webseite gewährleistet bleiben.

Wichtiges zum Abschluss: Ein besonderer Dank gilt denen, die an der Identifizierung und Behebung der Schwachstelle beteiligt waren. Ihr Beitrag ist unverzichtbar für die Aufrechterhaltung einer sicheren TYPO3-Community.

Kennen Sie schon unsere
TYPO3-Update-Flatrate?

Gerne bieten wir Ihnen unsere TYPO3-Update-Flatrate an. Wir halten Ihre Seite ganz ohne ihr Zutun im Hintergrund immer aktuell. Auch über Major-Versionen hinweg.
Das Beste: Wir veranschlagen dafür einen monatlichen Festpreis - garantiert keine versteckten Kosten.

Lassen Sie Ihre Kontaktdaten im nachfolgenden Formular, um weitere Informationen zu erhalten.

We will never pass this number to someone else.
Only for processing this request. We will never sent spam.
Logo

eine Marke der
invokable GmbH
Telefon: 02195 5882 50
E-Mail: info@invokable.gmbh

Kratzberger Str. 9
42855 Remscheid

Additional links

Imprint

Copyright © 2024