TYPO3 Beveiligings Bulletin TYPO3-SA-2009-001-NL: Meerdere kwetsbaarheden in TYPO3 Core
Categorie: artikelenDoor: Frans van der Veen
Meerdere beveiligingslekken gevonden in de TYPO3 core
Er is ontdekt dat de TYPO3 Core kwetsbaar is voor Broken Authentication en Session Management, Cross-Site Scripting, Insecure Randomness en Remote Command Execution.
Lees onderstaande bulletin voor een beschrijving en een oplossing voor alle bovengenoemde zaken:
TYPO3 Beveiligings Bulletin TYPO3-SA-2009-001-NL: Meerdere kwetsbaarheden in TYPO3 Core
Onderdeel type: TYPO3 Core
Aangetaste versies: TYPO3 versions 4.0.0 tot 4.0.9, 4.1.0 tot 4.1.7, 4.2.0 tot 4.2.3
Typen kwetsbaarheden: Broken Authentication en Sessie Management, Cross-Site Scripting, Insecure Randomness en Remote Command Execution
Prioriteit: hoog
Kwetsbaar onderdeel #1: Systeem extensie Install tool (install)
Type kwetsbaarheid: Insecure Randomness
Prioriteit: hoog
Probleem beschrijving: TYPO3-breed gebruikte beveiligingssleutel is gemaakt met een ontoereikende willekeurigheid wat resulteert in een lage entropie.
Oplossing: Update naar de TYPO3 versies 4.0.10, 4.1.8 of 4.2.4 die dit probleem zullen verhelpen.
Ook is het nodig om een nieuwe beveiligingssleutel te maken! Daarvoor moet er geupgraded worden naar de nieuwe TYPO3 versie en de configuratie cache geleegd worden. Open daarna de Install tool en kies menu 1 ("Basis configuratie"). Scroll naar de onderkant van de pagina en klik op de knop "Genereeer sleutel". Verstuur het formulier door te kliken op "Update localconf.php".
Daarna moet de configratie cache opnieuw geleegd worden!
Credits: Credits gaan naar Chris John Riley (Raifeisen Informatik, CERT Security Cometence Center Zwettl, Austria) die de fout ontdekt en gerapporteerd heeft.
Kwetsbaar onderdeel #2: Authenticatie bibliotheek
Typen kwetsbaarheid: Broken Authentication en Session Management
Prioriteit: hoog
Probleem omschrijving: TYPO3 authenticeert frontend en backend gebruikers zonder een aangeleverde sessie identifier te invalideren. Daardoor staat TYPO3 open voor sessie fixatie, waardoor het mogelijk wordt om een sessie van een slachtoffer te kapen.
Oplossing: Update naar de TYPO3 versies 4.0.10, 4.1.8 of 4.2.4 die dit probleem zullen verhelpen.
Credits: Credits gaan naar het TYPO3 Security lid Marcus Krause die dit probleem ontdekt en gemeld heeft.
Kwetsbaarheid onderdeel #3: Systeem extensie Indexed Search Engine (indexed_search)
Kwetsbaarheid type: Cross-Site Scripting, Remote Command Execution
Prioriteit: Gemiddeld
Probleem omschrijving: Doorgegeven argumenten aan de command-line indexer zijn niet gevalideerd waardoor er van buitenaf systeem commando's uitgevoerd kunnen worden. Verder valideert de backend module de gebruikersinput (naam en inhoud van geindexeerde bestanden) niet waardoor dit systeem kwetsbaar wordt voor Cross-Site Scripting.
Oplossing: Update naar de TYPO3 versies 4.0.10, 4.1.8 of 4.2.4 die dit probleem zullen verhelpen.
Credits: Credits gaan naar Mads Olesen die de problemen ontdekt en gemeld heeft.
Kwetsbaar onderdeel #4: Systeem extensie ADOdb (adodb)
Kwetsbaarheid type: Cross-Site Scripting
Prioriteit: Gemiddeld
Probleem omschrijving: Test scripts valideren gebruikersinput niet waardoor deze systeem extensie kwetsbaar wordt voor Cross-Site Scripting.
Oplossing: Update naar de TYPO3 versies 4.0.10, 4.1.8 of 4.2.4 die dit probleem zullen verhelpen.
Credits: Credits gaan naar Mads Olesen die de problemen ontdekt en gemeld heeft.
Kwetsbaarheid onderdeel #5: Workspace module
Kwetsbaarheid type: Cross-Site scripting
Prioriteit: Medium
Probleem beschrijving: De module valideert gebruikersinput niet waardoor deze module kwetsbaar wordt voor Cross-Site Scripting.
Oplossing: Update naar de TYPO3 versies 4.0.10, 4.1.8 of 4.2.4 die dit probleem zullen verhelpen.
Credits: Credits gaan naar Daniel Fabian (SEC Consult, Oostenrijk) die het probleem ontdekt en gemeld heeft.
Opmerking over TYPO3 levenscyclus beleid:
De volgende TYPO3 versies worden op het moment (Januari 2009) officieel ondersteund:
- TYPO3 4.2 (huidige stabiele versie; updates en beveiligings fixes)
- TYPO3 4.1 (oude stabiele versie; updates en beveiligings fixes)
- TYPO3 4.0 (oude oude stabiele versie; alleen beveiligings fixes)
Algemeen advies: Volg de aanbevelingen die gegeven worden in het 
TYPO3 Security Cookbook (engels). Word lid van de typo3-announce mailing list (engels) om toekomstige Security Bulletins per E-mail te ontvangen.
Opmerking: Dit is een vertaling van het originele bericht op:http://typo3.org/teams/security/security-bulletins/typo3-sa-2009-001/
