Sicherheitsupdates: Angreifer könnte Passwörter in Typo3 überschreiben

Im freien Content Management System Typo3 klaffen mitunter kritische Sicherheitslücken. Patches schließen mehrere Schwachstellen.

In Pocket speichern vorlesen Druckansicht 9 Kommentare lesen
Sicherheitsupdates: Angreifer könnte Passwörter in Typo3 überschreiben

(Bild: geralt)

Lesezeit: 1 Min.

Admins sollten ihre installierten Versionen des Content Management Systems (CMS) Typo3 prüfen und aktualisieren. In einer Ankündigung warnen die Entwickler vor vier Sicherheitslücken. Je nach Einstellungen des CMS gilt eine Schwachstelle als "kritisch". Die restlichen weisen den Bedrohungsgrad "hoch" auf. Dieser Einschätzung schließt sich auch das CERT Bund vom Bundesamt für Sicherheit in der Informationstechnik (BSI) an.

Die Typo3-Erweiterung zur sicheren Verwahrung von Passwörtern (Hash und Salt) ist verwundbar. Kommt der Hashing-Algorithmus Blowfish zum Einsatz, könnten Angreifer unter gewissen Umständen Kennwörter überschreiben.

Setzen Angreifer bei den anderen Lücken an, solle sich sich höhere Rechte erschleichen und sogar Schadcode ausführen können. Die Ausgaben von Typo3 7.6.30 LTS, 8.7.17 LTS und 9.3.1 sind abgesichert.

[UPDATE, 17.07.2018 14:15 Uhr]

Beschreibung der kritischen Lücke im Fließtext angepasst. (des)