TYPO3 Sicherheitsupdate: 7 Lücken in einem Rutsch gefixt

Heute ist ein wichtiger Tag für alle TYPO3-Installationen: Die neuen Versionen 12.4.37 LTS und 13.4.18 LTS schließen gleich sieben Sicherheitslücken. Das ist deutlich mehr als sonst - normalerweise sind es ein bis drei Schwachstellen pro Release.

Hier die wichtigsten Probleme im Überblick, damit du weißt, warum das Update nicht warten kann.

Die kritischen Backend-Schwachstellen

Workspaces-Modul: Unbefugter Datenbankzugriff (HIGH)

Das gefährlichste Problem betrifft das Workspaces-Modul. Authentifizierte Backend-Nutzer konnten über AJAX-Routen beliebige Datenbanktabellen abfragen - ohne entsprechende Berechtigung.

Konkret: Ein Redakteur ohne Admin-Rechte hätte theoretisch sensible Daten aus be_users, sys_log oder anderen geschützten Tabellen auslesen können. Das ist besonders kritisch, wenn du verschiedene Nutzergruppen mit unterschiedlichen Zugriffsrechten hast.

AJAX-Routen: Fehlende Berechtigungsprüfungen

Ein verwandtes Problem bei den Backend AJAX-Routen: Die waren nicht durch dieselben Permissions-Checks geschützt wie die Module selbst. Backend-Nutzer konnten Funktionen direkt aufrufen, auch wenn sie keine Berechtigung für das entsprechende Modul hatten.

TYPO3 führt jetzt die neue Route-Property inheritAccessFromModule ein, um das zu verhindern.

Frontend-seitige Probleme

Open Redirect: Phishing-Gefahr

Die Open Redirect-Schwachstelle betrifft GeneralUtility::sanitizeLocalUrl. Diese Funktion sollte eigentlich nur lokale URLs zulassen, konnte aber umgangen werden. Angreifer konnten Nutzer auf externe Seiten weiterleiten - perfekt für Phishing-Angriffe.

Das Problem: Wenn deine Extension diese Utility-Funktion verwendet und dann mit der "sauberen" URL weiterarbeitet, warst du angreifbar.

Die weiteren Backend-Schwachstellen

Bookmark-Toolbar: Denial of Service

Manipulierte Daten in der Bookmark-Toolbar konnten zu einem allgemeinen Fehlerstatus führen und das komplette Backend blockieren. Du brauchst allerdings Admin-Rechte, um das auszunutzen - trotzdem ärgerlich, wenn es passiert.

Password-Generation: Schwache Entropie

Bei der automatischen Passwort-Generierung gab es ein Muster-Problem: Generierte Passwörter begannen immer mit Kleinbuchstabe-Großbuchstabe-Ziffer. Das reduziert die effektive Passwort-Stärke erheblich.

File Abstraction Layer: Information Disclosure

Wenn Dateisystem-Operationen über die File Abstraction Layer fehlschlugen, wurden manchmal komplette Serverpfade in Fehlermeldungen preisgegeben. Das hilft Angreifern bei der Aufklärung deiner Server-Struktur.

CSV-Download: Ungeprüfte Tabellenzugriffe

Die CSV-Export-Funktion im List-Modul prüfte nicht ordentlich die Tabellen-Berechtigungen. Backend-Nutzer konnten Datensätze exportieren, für die sie eigentlich keine Leseberechtigung hatten - allerdings nur aus dem bereits verfügbaren Seitenbaum.

Update-Strategie

Sofort handeln: Alle produktiven Installationen sind betroffen (TYPO3 9.0.0 bis 13.4.17).

Verfügbare Updates:

• TYPO3 13.4.18 LTS
• TYPO3 12.4.37 LTS
• TYPO3 11.5.48 ELTS
• TYPO3 10.4.54 ELTS
• TYPO3 9.5.55 ELTS

Gute Nachricht: Keine Datenbankupdates erforderlich. Das Update geht schnell und kann problemlos im laufenden Betrieb eingespielt werden.

Besonders kritisch für dich, wenn:

• Du mehrere Backend-Nutzer mit verschiedenen Zugriffsrechten hast
• Das Workspaces-Modul im Einsatz ist
• Du mit sensiblen Kundendaten arbeitest
• Extensions GeneralUtility::sanitizeLocalUrl verwenden

Mein Fazit

Die Backend-bezogenen Probleme sind ernst zu nehmen - besonders die Information Disclosure-Schwachstellen im Workspaces-Bereich zeigen, wie wichtig regelmäßige Updates sind.

Das Update ist unkompliziert und dauert nur wenige Minuten. Bei der Anzahl der Schwachstellen solltest du nicht warten.

Alle technischen Details findest du in den offiziellen Security Advisories auf typo3.org.