Eine kürzlich entdeckte Sicherheitslücke in einer TYPO3-Kernkomponente ermöglicht es Angreifern, schädlichen Inhalt einzuschleusen. Lesen Sie hier, was genau passiert ist und was Sie jetzt tun sollten.

Persisted Cross-Site Scripting in Frontend Rendering

Unter dem Namen TYPO3-CORE-SA-2023-001 wurde heute ein Sicherheitsupdate für TYPO3 veröffentlicht, welches eine schwerwiegende Lücke in einem TYPO3 Kernkomponent namens "GeneralUtility::getIndpEnv" behebt.

Persisted Cross-Site Scripting (XSS) ist eine Art von XSS-Angriff, bei dem bösartiger Code in einer Website persistiert wird, so dass er an alle Besucher der Website ausgeliefert wird, die auf die betroffene Seite zugreifen. Im Gegensatz zu Reflected XSS, bei dem der bösartige Code nur einmal aufgerufen wird und dann verschwindet, bleibt beim Persisted XSS der Code im System, auch wenn der ursprüngliche Angriff beendet ist.

Dies macht Persisted XSS-Angriffe besonders gefährlich, da sie sich auf eine Vielzahl von Benutzern auswirken können und schwerer zu erkennen und zu beheben sind.

Was Sie dagegen tun können

Um die oben genannte Sicherheitslücke zu beheben, sollten TYPO3-Benutzer auf die neuesten verfügbaren Versionen aktualisieren (8.7.51 ELTS, 9.5.40 ELTS, 10.4.36 LTS, 11.5.23 LTS und 12.2.0), in denen die betroffene Komponente GeneralUtility::getIndpEnv() aktualisiert wurde.

Das ist der einfachste Weg, um die Verwendung der ungefilterten Serverumgebungsvariable PATH_INFO zu entfernen.

Um das Risiko weiter zu minimieren, sollten Sie ihre TypoScript-Konfiguration überprüfen und sicherstellen, dass die Einstellung "config.absRefPrefix" korrekt konfiguriert ist.

Es wird empfohlen, die Einstellung auf einen absoluten Pfad (z.B. "https://www.example.org/") zu setzen.

 

Weiter wird ebenfalls empfohlen, wenn Sie PHP-CGI nutzen (FPM, FCGI, o.Ä) die PHP Einstellung "cgi.fix_pathinfo" zu prüfen. Sollte diese nicht aktiv sein, wird das neue Sicherheitsupdate einen Fehler auswerfen. Dies verhindert zwar, dass Ihre Seite richtig funktioniert - signalisiert Ihnen aber sehr gut, dass die Einstellung nicht aktiv ist. Sie können auch hier nachlesen, wie Sie diese Einstellung ändern.

Zusammenfassend lässt sich sagen

Die Lösung für diese Sicherheitslücke besteht darin, die Verwendung der Serverumgebungsvariable PATH_INFO aus der entsprechenden Verarbeitung in GeneralUtility::getIndpEnv() zu entfernen. Außerdem wird die öffentliche Eigenschaft TypoScriptFrontendController:: $absRefPrefix für die Verwendung als URI-Komponente und als Präfix im HTML-Kontext codiert. Dadurch wird die Cross-Site-Scripting-Sicherheitslücke reduziert.

 

Wir empfehlen daher dringend, auf TYPO3-Versionen 8.7.51 ELTS, 9.5.40 ELTS, 10.4.36 LTS, 11.5.23 LTS und 12.2.0 zu aktualisieren.

Sollten Sie unterstützung bei dem Update benötigen, finden Sie hier diverse Kontaktmöglichkeiten.

Previous Post5 Vorteile von Wordpress im gegenüber TYPO3
Next PostManaged-Hosting: Die Lösung für Alle, die ein skalierbares Hosting benötigen