Schwerwiegende Sicherheitslücke bei TYPO3 – Sicherheits-Patch verfügbar
Am gestrigen Dienstag schreckte eine Meldung von Helmut Hummel auf typo3.org die Community und Administratoren von Seiten, die mit dem Content Management System (CMS) TYPO3 arbeiten, auf. Die Runde machte eine als kritisch eingestufte Sicherheitslücke. Auch bei schaffrath DigitalMedien setzt man auf dieses CMS. Nur wenige Minuten nach der Bereitstellung des Sicherheitsupdates begannen bei schaffrath DigitalMedien die Arbeiten an den im Haus betreuten Webservices, lange bevor die meisten Administratoren über Fachmedien informiert waren. Ein Entern von Seiten, die bei schaffrath DigitalMedien betreut werden, war somit de facto nicht möglich.
Betroffen waren nicht nur aktuelle Versionen von TYPO3, sondern auch ältere Versionen des beliebten CMS. Es handelte sich um die Versionen 4.3.0 bis 8.1.0, wobei das Extbase-Framework betroffen war. Entwickler benötigen das Extbase-Framework, um TYPO3-Erweiterungen zu programmieren. Die Sicherheitslücke betraf vor allem Installationen des CMS, bei denen Entwickler auf das Extbase-Framework von außen zugreifen können. Durch die Lücke lag der Zugang zu Webseiten – ohne sich einloggen zu müssen – vollständig offen. Angreifer können so Webseiten und deren Inhalte manipulieren oder über den Server des attackierten Schadcode ausführen lassen. Mittlerweile haben die Entwickler von TYPO3 Sicherheitsupdates zur Verfügung gestellt – und dies auch für viele nicht mehr offiziell unterstützte TYPO3-Versionen.
Der Fall zeigt aber erneut, wie extrem wichtig es ist, laufend seine CMS-Systeme auf dem neuesten Stand zu halten und die Pflege einer Website in erfahrene Hände zu legen. Die muss dann natürlich sehr schnell und effizient reagieren, wenn Schwachstellen in der Software bekannt werden. Damit bleiben die eigenen Websites und deren Werte nicht nur geschützt, sondern auch ein Imageschaden für die eigene Marke kann nur so verhindert werden. Die Bandbreite der betroffenen Versionen von TYPO3 zeigt aber auch, dass es wichtig ist, sich immer wieder über ein Upgrade auf die neueste Version einer Software Gedanken zu machen. Vor allem dann, wenn auch über Veränderungen im Frontend, wie responsives Webdesign nachgedacht wird. Gerade hier tickt für Verlage, Publisher und ihre Medienprodukte die Uhr, denn Google will mit seinem neuen Update, Webseiten bestrafen, die nicht für mobile Endgeräte geeignet sind.
Foto: Frank Peters/shutterstock.com
Alexander Hornen
hornen(at)schaffrath-digital.de
fon: +49 28 31 / 925-534