Sicherheitsupdate für TYPO3: Wichtige Informationen zur geschützten Inhaltsausgabe
26.07.2023In diesem Blogpost informieren wir über eine kürzlich entdeckte Sicherheitslücke im TYPO3 CMS, die zu einer Offenlegung von Informationen führen kann. Wir erklären das Problem, die betroffenen Versionen und die verfügbare Lösung und geben Hinweise zur Sicherheit Ihres TYPO3-Systems.
TYPO3-Nutzer aufgepasst: Es wurde eine Sicherheitsschwachstelle identifiziert, die unter bestimmten Umständen zur Offenlegung von Informationen führen kann. Die Sicherheitslücke, die sich auf das URL-Routing im TYPO3-Kern bezieht, betrifft verschiedene Versionen des CMS und erfordert Ihre Aufmerksamkeit.
Betroffen sind die Versionen 9.4.0 bis 9.5.41, 10.0.0 bis 10.4.38, 11.0.0 bis 11.5.29 sowie 12.0.0 bis 12.4.3. Insbesondere in Multi-Site-Umgebungen kann es möglich sein, über speziell gestaltete HTTP-Parameter 'id' und 'L' Inhalte abzurufen, die sonst nicht öffentlich zugänglich wären.
Die gute Nachricht ist, dass es bereits Updates gibt, die diesen Fehler beheben: Sie sollten auf die Versionen 9.5.42 ELTS, 10.4.39 ELTS, 11.5.30 oder 12.4.4 aktualisieren. Mit diesen Versionen wird das unerlaubte Site-Resolution durch die Parameter 'id' und 'L' standardmäßig unterbunden. Eine manuelle Aktion ist jedoch erforderlich, um die sichere Standardeinstellung zu gewährleisten.
Es wird ausdrücklich empfohlen, den TYPO3 Security Guide zu konsultieren und sicherzustellen, dass Ihr System nach den dortigen Empfehlungen konfiguriert ist. Abonnieren Sie auch die TYPO3-Ankündigungs-Mailingliste, um über künftige Sicherheitsupdates informiert zu bleiben.
