Schwachstelle in Typo3-Repository als mögliches Schlupfloch für trojanisierte Erweiterungen

Schwachstelle in Typo3-Repository als mögliches Schlupfloch für trojanisierte Erweiterungen

Dennis Schirrmacher

Aufgrund eines Fehlers hätten Dritte unter Umständen mit beliebigem Passwort auf das Typo3 Extension Repository zugreifen können. Nun warnen die Entwickler vor möglichen Erweiterungen mit Schadcode.

Offenbar haben die Verantwortlichen hinter dem Content-Managment-System (CMS) Typo3 ihr Repository für Erweiterungen nicht ausreichend abgesichert. Einer offiziellen Sicherheitswarnung zufolge hätten Dritte dort seit dem 23. August unter gewissen Voraussetzungen einsteigen und Erweiterungen mit manipulierten Versionen ersetzen können. Mittlerweile soll das Schlupfloch geschlossen sein.

Um über die als kritisch eingestufte Schwachstelle im SOAP Web Service in extensions.typo3.org einsteigen zu können, soll ein potenzieller Angreifer lediglich einen gültigen Typo3-Erweiterungsschlüssel, einen Nutzeraccount und ein willkürliches Passwort benötigt haben.

Integrität gewahrt?

Die Verantwortlichen hinter Typo3 geben an, die Checksummen (SHA-256) aller vor dem 22. August hochgeladenen Erweiterungen überprüft zu haben. Bei diesen soll die Integrität laut den Ergebnissen gewahrt sein. Die 56 nach diesem Tag von Entwicklern zur Verfügung gestellten Erweiterungen hat das Typo3-Team vorsorglich als unsicher markiert – schlimmstenfalls könnten diese mit Schadcode verseucht sein.

Die in der Sicherheitswarnung aufgezeigten Erweiterungen sollten Nutzer entweder löschen oder durch eine aktuelle Version ersetzen. Das Typo3-Team gibt an, dass sie alle betroffenen Entwickler von Erweiterungen, mit der Bitte neue Version zu erstellen, über das Problem informiert haben. (des)

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.