TYPO3 Sicherheitsupdate 13.0.1, 12.4.11 LTS und 11.5.35 LTS
Das TYPO3 Security Team hat heute neue TYPO3 Versionen veröffentlicht. Diese schließen sechs Sicherheitslücken.
TYPO3-CORE-SA-2024-006: Improper Access Control Persisting File Abstraction Layer Entities via Data Handler
Betroffene Komponente: TYPO3 CMS
Schweregrad: mittel
Betroffene TYPO3 Versionen: 8.0.0-8.7.56, 9.0.0-9.5.45, 10.0.0-10.4.42, 11.0.0-11.5.34, 12.0.0-12.4.10, 13.0.0
Details: Backend Benutzer konnten mithilfe vom DataHandler aus ihrem zugeordnetem Dateiverzeichnis ausbrechen, in dem sie Dateien mit dem Fallback Dateispeicher (UID: 0) gespeichert haben.
TYPO3-CORE-SA-2024-005: Improper Access Control of Resources Referenced by t3:// URI Scheme
Betroffene Komponente: TYPO3 CMS
Schweregrad: mittel
Betroffene TYPO3 Versionen: 8.0.0-8.7.56, 9.0.0-9.5.45, 10.0.0-10.4.42, 11.0.0-11.5.34, 12.0.0-12.4.10, 13.0.0
Details: Mithilfe des URI Schemas "t3://" konnten Backend Benutzer auf Dateien außerhalb ihres zugeordneten Dateiverzeichnisses zugreifen.
TYPO3-CORE-SA-2024-004: Information Disclosure of Encryption Key in TYPO3 Install Tool
Betroffene Komponente: TYPO3 CMS
Schweregrad: mittel
Betroffene TYPO3 Versionen: 8.0.0-8.7.56, 9.0.0-9.5.45, 10.0.0-10.4.42, 11.0.0-11.5.34, 12.0.0-12.4.10, 13.0.0
Details: Wer sich im Installtool angemeldet hat, hatte über den HTML Quelltext Zugriff auf den Encryption Key "$GLOBALS['SYS']['encryptionKey']". Mit diesem Key hätte man die Möglichkeit gehabt gültige cHash Werte für die URI Parameter zu generieren.
TYPO3-CORE-SA-2024-003: Information Disclosure of Hashed Passwords in TYPO3 Backend Forms
Betroffene Komponente: TYPO3 CMS
Schweregrad: mittel
Betroffene TYPO3 Versionen: 8.0.0-8.7.56, 9.0.0-9.5.45, 10.0.0-10.4.42, 11.0.0-11.5.34, 12.0.0-12.4.10, 13.0.0
Details: Im Bearbeitungsformular von Backend Benutzers stand das verschlüsselte Benutzer Passwort drin, welches mittels Bruteforce hätte geknackt werden können.
TYPO3-CORE-SA-2024-002: Code Execution in TYPO3 Install Tool
Betroffene Komponente: TYPO3 CMS
Schweregrad: mittel
Betroffene TYPO3 Versionen: 8.0.0-8.7.56, 9.0.0-9.5.45, 10.0.0-10.4.42, 11.0.0-11.5.34, 12.0.0-12.4.10, 13.0.0
Details: Sämtliche Eingabefelder im Installtool zur Pfadangabe von Systemkommandos konnten für Code-Ausführungen missbraucht werden.
TYPO3-CORE-SA-2024-001: Path Traversal in TYPO3 File Abstraction Layer Storages
Betroffene Komponente: TYPO3 CMS
Schweregrad: mittel
Betroffene TYPO3 Versionen: 8.0.0-8.7.56, 9.0.0-9.5.45, 10.0.0-10.4.42, 11.0.0-11.5.34, 12.0.0-12.4.10, 13.0.0
Details: Dateispeicher (Tabelle: sys_file_storage) konnten bisher auch für Verzeichnisse außerhalb vom TYPO3 Projektverzeichnis und Webverzeichnis konfiguriert werden. Diese Möglichkeit wurde bisher gerne verwendet, um auf einen gemeinsamen übergeordneten Bilderordner, der für 2 oder mehr TYPO3 Instanzen gleichermaßen verwendet wurde, zuzugreifen. Mit Einspielen dieses Sicherheitsupdates ist diese Konfiguration nur noch nach Anpassen von "[BE][lockRootPath]" möglich. Setzt diesen Wert auf den absoluten Pfad zu eurem gemeinsamen Bildverzeichnis. Dieser Pfad muss mit Slash enden.