Lücke in Typo3: Wenn gleich nicht identisch ist

Erneut ermöglicht ein Fehler in der jumpURL-Funktion von Typo3 das Herunterladen beliebiger Dateien. Über eine ähnliche Lücke wurde Anfang vergangenen Jahres die Webseite von Wolfgang Schäuble gehackt.

In Pocket speichern vorlesen Druckansicht 292 Kommentare lesen
Lesezeit: 1 Min.
Von
  • Daniel Bachfeld

Erneut ermöglicht ein Fehler in der jumpURL-Funktion von Typo3 das Herunterladen beliebiger Dateien – im schlimmsten Fall gelangt ein Angreifer an die Datei localconf.php, in der das (gehashte) Passwort für das Install-Tool sowie Nutzername und Passwort für die Datenbank eingetragen sind. Anfang vergangenen Jahres wurde über eine ähnliche Lücke die Webseite von Wolfgang Schäuble gehackt.

Diesmal ist es aber vermutlich nicht ganz so kritisch. Nach Angaben der Entwickler lässt sich der zum Abruf von Dateien notwendige Hashwert spoofen, um die Zugriffskontrollle von Typo3 auszuhebeln. Kern des Problems ist der nicht typsichere Vergleich des übertragenen und des vom Server berechneten Hash-Wertes. So fragt Typo3 in verwundbaren Installationen nur ab, ob die Hashes gleich sind ($a == $b) statt festzustellen, ob sie identisch sind ($a === $b). Aufgrund der impliziten Typumwandlung ergibt beispielweise der Vergleich '' == 0 das Ergebnis true. Wie genau man auf diesem Weg die Zugriffskontrolle aushebelt, lässt der Bericht offen.

Betroffen sind 4.2.14, 4.3.6 und 4.4.3; Updates auf 4.2.15, 4.3.7 und 4.4.4 korrigieren den Fehler. Daneben beheben die Updates eine Reihe weiterer Probleme, darunter Cross-Site-Scripting- und DoS-Schwachstellen. Administratoren sollten die Updates so bald wie möglich installieren.

Udpate:Die zwischenzeitliche Erwähnung von Drupal in diesem Kontext beruhte auf einem Versehen. Es geht definitiv Typo3 – sorry. (dab)