Kritisches indirektes Sicherheitsloch in TYPO3 (alle Versionen)

Veröffentlicht am

Die TYPO3-Entwicklergemeinde hat soeben per Newsletter über ein mögliches indirektes Sicherheitsloch informiert.

Vor kurzem wurde das TYPO3 Extension Repository (sozusagen der „App-Store“ des TYPO3s) in einer komplett neuen Version in Betrieb genommen. Diese neue Version enthielt eine Sicherheitslücke, durch die es einem Angreifer möglich war, sich als Extension-Entwickler einzuloggen und eigene Updates zu veröffentlichen, die Schadcode beinhalten.

Es wurde daher eine Liste von betroffenen Extensions/Versionen veröffentlicht, die theoretisch betroffen sein könnten.

Das bedeutet für Sie:

Wenn Sie im Zeitraum 22.08.2017 bis 06.09.2017 in Ihrem TYPO3 keine Extensions installiert oder aktualisiert haben (=nicht den Extension Manager verwendet haben), dann sind Sie von diesem Problem nicht betroffen.

Wenn Sie im o.g. Zeitraum Extensions installiert oder aktualisiert haben, prüfen Sie bitte, ob Ihre Extension auf dieser Liste aufgeführt ist. Wenn nein, dann sind Sie ebenfalls von diesem Problem nicht betroffen.

Wenn Sie jedoch im o.g. Zeitraum eine Extension installiert/aktualisiert haben, die auf der o.g. Liste aufgeführt ist, dann gehen Sie bitte wie folgt vor:

  • Konsultieren Sie unbedingt einen TYPO3-Profi, der Sie bei den folgenden Maßnahmen unterstützt.
  • Wenn die Extension nicht für den produktiven Einsatz Ihrer Webseite zwingend nötig ist, dann sollten Sie sie deaktivieren.
  • Laden Sie sich die Extension (zur späteren Analyse) als ZIP-Datei herunter.
  • Auch eine nicht aktivierte Extension kann ein Sicherheitsproblem darstellen. Löschen Sie die Extension daher in Ihrem TYPO3.
  • Versuchen Sie herauszufinden, ob die heruntergeladene Extension kompromittiert war. Hierzu bietet sich ein Hashwert-Vergleich mit einer nicht kompromittierten Version an.

Achtung: Bitte achten Sie unbedingt darauf, dass Sie nicht einfach nur die Extension aktualisieren oder löschen, sondern vorher die installierte Version analysieren bzw. zur Analyse herunterladen und sichern. Sie haben sonst im Nachhinein keine Chance mehr, festzustellen, ob Ihr CMS ein Sicherheitsprobleme hatte (und damit immer noch haben könnte) oder nicht.

Was heißt das im schlimmsten Fall?

Für den Fall, dass eine Extension tatsächlich Schadcode in Ihrem TYPO3 ausführen konnte, müssen Sie theoretisch davon ausgehen, dass Ihr TYPO3 unwiderruflich kompromittiert ist. 

Viel wahrscheinlicher ist jedoch, dass Sie vielleicht Schadcode (eine Hintertür) in Ihr TYPO3 installiert haben, diese aber noch gar nicht ausgeführt wurde (darum ist schnelles Handeln erforderlich, damit es gar nicht dazu kommt).

Darüber hinaus ist gar nicht sicher gesagt, ob die betroffenen Extensions überhaupt Schadcode beinhalten. Die entsprechenden Extensions wurden lediglich zu einer Zeit hochgeladen, als das Sicherheitsloch bestand. Es könnte daher sein, dass sie kompromittiert wurden (aber es gibt keinen weiteren Hinweis darauf).

Aber TYPO3 gilt doch als sicher? 

Ja. Aber wo Menschen arbeiten, passieren Fehler. In diesem Fall ist auch nicht Ihr TYPO3 selbst das Problem, sondern die Tatsache, dass Sie eine Extension installiert haben, die ein Problem haben könnte. Ein CMS ist immer nur so sicher wie die unsicherste Extension. Nicht umsonst warnen wir davor, „einfach so“ irgendwelche Extensions zu installieren.

Ich weiß nicht, ob ich betroffen bin!

Wir werden für alle DRKCMSe prüfen, ob Sie generell betroffen sein könnten (also ob es Änderungen an den genannten Extensions im entsprechenden Zeitraum gab) und Sie dann über eine automatische Mail informieren.

Bitte beachten Sie jedoch, dass das ohne Gewähr funktioniert und noch bis Ende der Woche dauern kann, da wir selbst erstmal analysieren müssen, wie wir zuverlässig ermitteln können, wer betroffen ist.

 

Gerne stehen wir Ihnen natürlich auch bei der Analyse zur Verfügung.

DRKCMS v7 (ab 2017) Aktuelles