Dies Bundesamt für jedes Sicherheit in jener Informationstechnik (BSI) hat am 25.07.2023 kombinieren Sicherheitshinweis für jedes TYPO3 Core veröffentlicht. Es sind mehrere Schwachstellen bzgl. jener Benutzung dieser Software entdeckt worden, die kombinieren Übergriff zuteilen. Betroffen von jener Sicherheitslücke sind die Betriebssysteme UNIX, Linux und Windows sowie dies Produkt TYPO3 Core.

Die neuesten Hersteller-Empfehlungen bzgl. Updates, Workarounds und Sicherheitspatches für jedes solche Sicherheitslücke finden Sie hier: Typo3 Security Bulletin (Stand: 24.07.2023). Weitere nützliche Quellen werden weiter unten in diesem Kautel aufgeführt.

Mehrere Schwachstellen für jedes TYPO3 Core gemeldet – Risiko: mittel

Risikostufe: 3 (mittel)
CVSS Cousine Score: 4,7
CVSS Zeitlich Score: 4,1
Remoteangriff: Ja

Zur Ordnung des Schweregrads von Schwachstellen in Computersystemen wird dies Common Vulnerability Scoring System (CVSS) angewandt. Dieser CVSS-Standard ermöglicht es, potenzielle oder tatsächliche Sicherheitslücken hinauf Sockel verschiedener Metriken miteinander zu vergleichen, um eine darauf aufbauende Prioritätenliste zur Präambel von Gegenmaßnahmen zu erstellen. Zu Händen die Schweregrade einer Schwachstelle werden die Attribute „keine“, „tief“, „mittel“, „hoch“ und „ungelegen“ verwendet. Dieser Cousine Score bewertet die Voraussetzungen für jedes kombinieren Übergriff (u.a. Authentifizierung, Varianz, Privilegien, Userinteraktion) sowie dessen Konsequenzen. Beim Zeitlich Score fließen gut die Zeit veränderbare Rahmenbedingungen in die Ordnung ein. Dieser Schweregrad jener aktuellen Schwachstelle wird nachdem dem CVSS mit einem Cousine Score von 4,7 qua „mittel“ eingestuft.

TYPO3 Core Programmfehler: Zusammenfassung jener aktuellen Schwachstellen

TYPO3 ist ein freies Content-Management-System, basierend hinauf jener Scriptsprache PHP und einer SQL-Datensammlung. Hoch zahlreiche Extensions kann jener Funktionsumfang jener Core-Installation individuell erweitert werden.

Ein entfernter, anonymer Angreifer kann mehrere Schwachstellen in TYPO3 Core ausnutzen, um kombinieren Cross-Site Scripting Übergriff durchzuführen oder Informationen offenzulegen.

Klassifiziert wurden die Schwachstellen mithilfe des CVE-Bezeichnungssystems (Common Vulnerabilities and Exposures) durch die individuellen Seriennummern CVE-2023-37905, CVE-2023-38499 und CVE-2023-38500.

Von jener Sicherheitslücke betroffene Systeme im Syllabus

Betriebssysteme
UNIX, Linux, Windows

Produkte
TYPO3 Core < 12.4.4 (cpe:/a:typo3:typo3)
TYPO3 Core < 11.5.30 (cpe:/a:typo3:typo3)

Allgemeine Empfehlungen zum Umgang mit IT-Schwachstellen

1. Nutzer jener betroffenen Systeme sollten solche hinauf dem aktuellsten Stand halten. Hersteller sind nebst Bekanntwerden von Sicherheitslücken dazu angehalten, solche schnellstmöglich durch Schöpfung eines Patches oder eines Workarounds zu beheben. Sollten Sicherheitspatches verfügbar sein, installieren Sie solche zeitnah.
2. Rat einholen Sie zu Informationszwecken die im nächsten Teil aufgeführten Quellen. Vielerorts enthalten solche weiterführende Informationen zur aktuellsten Version jener betreffenden Software sowie zur Verfügbarkeit von Sicherheitspatches oder Hinweise zu Workarounds.
3. Wenden Sie sich nebst weiteren Fragen oder Unsicherheiten an Ihren zuständigen Administrator. IT-Sicherheitsverantwortliche sollten die genannten Quellen regelmäßig daraufhin prüfen, ob ein neues Sicherheitsupdate zur Verfügung steht.

Hersteller-Informationen zu Updates, Patches und Workarounds

An dieser Stelle entscheiden sich weiterführende Sinister mit Informationen gut Programmfehler-Reports, Security-Fixes und Workarounds.

Typo3 Security Bulletin vom 2023-07-24 (25.07.2023)
Weitere Informationen finden Sie unter: https://typo3.org/article/typo3-1244-and-11530-security-releases-published

Typo3 Security Bulletin vom 2023-07-24 (25.07.2023)
Weitere Informationen finden Sie unter: https://typo3.org/security/advisory/typo3-core-sa-2023-002

Typo3 Security Bulletin vom 2023-07-24 (25.07.2023)
Weitere Informationen finden Sie unter: https://typo3.org/security/advisory/typo3-core-sa-2023-003

Typo3 Security Bulletin vom 2023-07-24 (25.07.2023)
Weitere Informationen finden Sie unter: https://typo3.org/security/advisory/typo3-core-sa-2023-004

Versionshistorie dieser Sicherheitswarnung

Dies ist die 2. Version des vorliegenden IT-Sicherheitshinweises für jedes TYPO3 Core. Im Kontext Publikation weiterer Updates wird dieser Text aktualisiert. Die vorgenommenen Änderungen können Sie qua jener folgenden Versionshistorie reproduzieren.

25.07.2023 – Initiale Halterung
26.07.2023 – CVE’s ergänzt

+++ Redaktioneller Verzeichnis: Dieser Text wurde hinauf Sockel aktueller BSI-Wissen KI-gestützt erstellt. Feedback und Anmerkungen nehmen wir unter [email protected] entgegen. +++

Nachsteigen Sie News.de schon nebst Facebook, Twitter, Pinterest und YouTube? Hier finden Sie brandheiße News, aktuelle Videos und den direkten Leiterbahn zur Redaktion.
roj/news.de