Absicherung Ihrer TYPO3-Website: Maßnahmen gegen Sicherheitslücken

29.01.2025
In der digitalen Welt ist Sicherheit das A und O. Besonders bei Drittanbieter-Extensions wie der "OpenID Connect Authentication"-Extension für TYPO3 ist Vorsicht geboten. Wir zeigen Ihnen, wie Sie präventive Maßnahmen ergreifen, um Ihr System sicher zu halten. Erfahren Sie mehr über die kürzlich entdeckte Sicherheitslücke und die dringend empfohlenen Updates, um die Kontrolle über Ihre Benutzerkonten zu bewahren.

Vor Kurzem wurde eine Sicherheitslücke in der „OpenID Connect Authentication“-Extension für TYPO3 identifiziert, die potenziell zu einer kompromittierten Kontoübernahme führen könnte. Diese Erweiterung gehört nicht zum Standardpaket von TYPO3 und ist daher als Drittanbieter-Extension klassifiziert. Besonders betroffen sind die Versionen 3.0.0 und darunter, weshalb zeitnah Maßnahmen zur Sicherung ergriffen werden sollten.

Hintergrund der Sicherheitslücke

Die Schwachstelle liegt in der Verknüpfungslogik von Benutzerkonten innerhalb der Erweiterung. Ein Angreifer könnte durch einen sogenannten Pre-Hijacking-Angriff die Kontrolle über ein Benutzerkonto erlangen. Hierfür muss der Angreifer lediglich die E-Mail-Adresse des Benutzers erraten können, um anschließend ein öffentliches Frontend-Benutzerkonto mit dieser Adresse anzulegen, bevor der eigentliche Benutzer seinen ersten OIDC-Login durchführt. Ein weiteres Kriterium ist, dass der Identity Provider das E-Mail-Feld der Benutzeradresse zurückgeben muss.

Lösung und Handlungsempfehlung

Für Nutzer der betroffenen Extension steht die aktualisierte Version 4.0.0 zur Verfügung. Diese kann über den TYPO3-Extension-Manager oder Packagist bezogen werden. Es wird dringend empfohlen, die Aktualisierung schnellstmöglich durchzuführen, um die Sicherheit der Benutzerkonten zu gewährleisten.

Wichtig: Die neue Version bringt strukturelle Änderungen mit sich, darunter das Entfernen des „username“-Feldes in der OIDC-Authentifizierungsabfrage. Nutzer, die auf diese Funktionalität angewiesen sind, sollten das Event AuthenticationFetchUserEvent nutzen, um die Abfragekriterien entsprechend anzupassen. Dabei ist darauf zu achten, dass keine benutzergenerierten Inhalte in den Abfragekriterien enthalten sind.

Ein Dank an die Beteiligten

Ein besonderer Dank gilt Hannes Lau für das Aufdecken der Sicherheitsproblematik sowie Markus Klein für die Entwicklung der aktualisierten Version der Extension.

Allgemeine Sicherheitshinweise

Empfohlen wird, die Hinweise der TYPO3-Sicherheitsrichtlinien zu befolgen. Zudem ist eine Anmeldung im TYPO3-Announce-Mailing-List sinnvoll, um immer auf dem aktuellsten Stand über Sicherheitsthemen rund um TYPO3 zu bleiben.

Kennen Sie schon unsere
TYPO3-Update-Flatrate?

Gerne bieten wir Ihnen unsere TYPO3-Update-Flatrate an. Wir halten Ihre Seite ganz ohne ihr Zutun im Hintergrund immer aktuell. Auch über Major-Versionen hinweg.
Das Beste: Wir veranschlagen dafür einen monatlichen Festpreis - garantiert keine versteckten Kosten.

Lassen Sie Ihre Kontaktdaten im nachfolgenden Formular, um weitere Informationen zu erhalten.

Wir geben diese Nummer niemals weiter.
Nur zur Bearbeitung dieser Anfrage. Wir versenden niemals Spam.