Gestern haben wir schon über die Sicherheitslücken in den Extensions realurl und sf_register berichtet, heute müssen wir Euch leider schon wieder über ein Sicherheitsproblem informieren. Betroffen sind die TYPO3 Versionen 6.2.0 bis 6.2.26, 7.6.0 bis 7.6.10 und 8.0.0 bis 8.3.0.

Das Problem: Denial of Service durch Cache Flooding

Valide cHash-Anhänge generieren einen neuen Cache-Eintrag für eine Seite, der gespeichert wird. Da der cHash nicht spezifisch an eine bestimmte Seite gebunden ist, können Angreifer, wie jetzt erkannt wurde, valide cHash-Anhänge für verschiedene Seiten verwenden und so nutzlose Cache-Einträge generieren. Je nachdem, wie viele Seiten eine Webpräsenz hat und wie viele valide cHashs es entsprechend gibt, können sie unter Umständen eine so große Menge an Cache-Einträgen produzieren, dass der Datenspeicher überlastet ist und die Seite im schlimmsten Fall nicht mehr erreichbar ist. 

Vorsicht beim Schließen der Sicherheitslücke

Aktualisiert Euere TYPO3 Version deshalb bitte auf die neu releasten Versionen 6.2.27, 7.6.11 und 8.3.1 und (wichtig!) setzt die folgende Variable auf „true“:

 Das reine Update auf die neue TYPO3 Version reicht nicht aus, um die Sicherheitslücke zu schließen, sondern die Variable muss unbedingt ebenfalls gesetzt werden. Flusht bitte auch die Caches der verwendeten Extensions und die TYPO3 Caches. Vorsicht: Die Variable könnte allerdings auch integrierte Extensions, die die CacheHashCalculator API verwenden, außer Kraft setzen. Überlegt Euch deshalb bitte gut, ob und wann Ihr diese neue Sicherheitsoption in Eure TYPO3 Installation integriert. Die Sicherheitslücke wird von der TYPO3 Association auch nur als gering eingestuft. Bei Neuinstallationen ist die Variable von vornherein aktiv gesetzt. 

Das Positive: Release der Versionen 6.2.27, 7.6.11 & 8.3.1

Weil es in dieser Woche so scheint, als wäre TYPO3 besonders anfällig für Sicherheitslücken, wollen wir noch einmal darauf hinweisen, dass es im Vergleich zu anderen CMS bei TYPO3 wohl die wenigsten bekannten Sicherheitslücken und erfolgreichen Angriffe gibt. Dazu trägt auch bei, dass die Community ständig wachsam ist und Sicherheitslücken sofort geschlossen werden, sobald sie bekannt sind.

Die neuen Versionen wurden deshalb nicht nur genutzt, um das oben beschriebene Cache Flooding Problem zu lösen, sondern es wurde auch die Anfälligkeit des TYPO3 Backends für Cross-Site Scripting behoben. Außerdem wurden vor allem in den älteren Versionen (6.2.27, 7.6.11) diverse Bugs gefixt. Kleinere Updates sollten deshalb unserer Meinung nach nicht als lästig empfunden werden, sondern als großartiges Zeichen dafür, dass die TYPO3-Community aktiv und lebendig ist.