TYPO3 Sicherheitsupdate: 7 Security Lücken in TYPO3 Core gefixt
Heute ist ein wichtiger Tag für alle TYPO3-Installationen: Die neuen Versionen 12.4.37 LTS und 13.4.18 LTS schließen gleich sieben Sicherheitslücken. Das ist deutlich mehr als sonst - normalerweise sind es ein bis drei Schwachstellen pro Release.
Die kritischen Backend-Schwachstellen
Workspaces-Modul: Unbefugter Datenbankzugriff (HIGH)
Das gefährlichste Problem betrifft das Workspaces-Modul. Authentifizierte Backend-Nutzer konnten über AJAX-Routen beliebige Datenbanktabellen abfragen - ohne entsprechende Berechtigung.
Konkret: Ein Redakteur ohne Admin-Rechte hätte theoretisch sensible Daten aus be_users, sys_log oder anderen geschützten Tabellen auslesen können. Das ist besonders kritisch, wenn man verschiedene Nutzergruppen mit unterschiedlichen Zugriffsrechten hast.
AJAX-Routen: Fehlende Berechtigungsprüfungen
Ein verwandtes Problem bei den Backend AJAX-Routen: Die waren nicht durch dieselben Permissions-Checks geschützt wie die Module selbst. Backend-Nutzer konnten Funktionen direkt aufrufen, auch wenn sie keine Berechtigung für das entsprechende Modul hatten.
TYPO3 führt jetzt die neue Route-Property inheritAccessFromModule ein, um das zu verhindern.
Frontend-seitige Probleme
Open Redirect: Phishing-Gefahr
Die Open Redirect-Schwachstelle betrifft GeneralUtility::sanitizeLocalUrl. Diese Funktion sollte eigentlich nur lokale URLs zulassen, konnte aber umgangen werden. Angreifer konnten Nutzer auf externe Seiten weiterleiten - perfekt für Phishing-Angriffe.
Das Problem: Wenn deine Extension diese Utility-Funktion verwendet und dann mit der "sauberen" URL weiterarbeitet, warst du angreifbar.
Die weiteren Backend-Schwachstellen
Bookmark-Toolbar: Denial of Service
Manipulierte Daten in der Bookmark-Toolbar konnten zu einem allgemeinen Fehlerstatus führen und das komplette Backend blockieren. Man brauchst allerdings Admin-Rechte, um das auszunutzen - trotzdem ärgerlich, wenn es passiert.
Password-Generation: Schwache Entropie
Bei der automatischen Passwort-Generierung gab es ein Muster-Problem: Generierte Passwörter begannen immer mit Kleinbuchstabe-Großbuchstabe-Ziffer. Das reduziert die effektive Passwort-Stärke erheblich.
File Abstraction Layer: Information Disclosure
Wenn Dateisystem-Operationen über die File Abstraction Layer fehlschlugen, wurden manchmal komplette Serverpfade in Fehlermeldungen preisgegeben. Das hilft Angreifern bei der Aufklärung deiner Server-Struktur.
CSV-Download: Ungeprüfte Tabellenzugriffe
Die CSV-Export-Funktion im List-Modul prüfte nicht ordentlich die Tabellen-Berechtigungen. Backend-Nutzer konnten Datensätze exportieren, für die sie eigentlich keine Leseberechtigung hatten - allerdings nur aus dem bereits verfügbaren Seitenbaum.
Update-Strategie
Sofort handeln: Alle produktiven Installationen sind betroffen (TYPO3 9.0.0 bis 13.4.17).
Verfügbare Updates:
- TYPO3 13.4.18 LTS
- TYPO3 12.4.37 LTS
- TYPO3 11.5.48 ELTS
- TYPO3 10.4.54 ELTS
- TYPO3 9.5.55 ELTS
Gute Nachricht: Keine Datenbankupdates erforderlich. Das Update geht schnell und kann problemlos im laufenden Betrieb eingespielt werden.
Besonders kritisch, wenn:
- Man mehrere Backend-Nutzer mit verschiedenen Zugriffsrechten hast
- Das Workspaces-Modul im Einsatz ist
- Man mit sensiblen Kundendaten arbeitest
- Extensions GeneralUtility::sanitizeLocalUrl verwenden
Unser Fazit
Die Backend-bezogenen Probleme sind ernst zu nehmen - besonders die Information Disclosure-Schwachstellen im Workspaces-Bereich zeigen, wie wichtig regelmäßige Updates sind.
Alle technischen Details findest man in den offiziellen Security Advisories auf typo3.org.
