[TYPO3-UG Dutch] Security Bulletin beveiligingslek 24 mei 2016

Jigal van Hemert jigal.van.hemert at typo3.org
Tue May 24 10:47:32 CEST 2016 

Bij uitzondering volgt hier ook een vertaling van het security bulletin 
aangezien een zeer belangrijke patch betreft die ook voor 
niet-ondersteunde versies beschikbaar is gesteld.

De vertaling is ter informatie, de tekst van het security bulletin zelf 
is leidend: 
https://typo3.org/teams/security/security-bulletins/typo3-core/typo3-core-sa-2016-013/

=========================================================================

TYPO3-CORE-SA-2016-013: Missing Access Check in TYPO3 CMS

24 mei 2016

Categorie: TYPO3 CMS [1]
Auteur: Helmut Hummel
Steekwoorden: Ontbrekende Toegangscontrole, Extbase

Er is ontdekt dat een toegangscontrole voor Extbase-extensies ontbreekt 
in TYPO3 CMS.

Componenttype: TYPO3 CMS

Publicatiedatum: 24 mei 2016


Kwetsbare subcomponent: Extbase

Type kwetsbaarheid: Ontbrekende toegangscontrole

Getroffen versies: Versies 4.3.0 t/m 8.1.0

Ernst: Kritiek

Voorgestelde CVSS v2.0: AV:N/AC:M/Au:N/C:C/I:C/A:C/E:F/RL:O/RC:C [2]

CVE: nog niet toegekend

Probleembeschrijving: de afhandeling van requests binnen Extbase bevat 
geen goede toegangscontrole voor aangevraagde 
controller/action-combinaties, waardoor het mogelijk is om willekeurige 
Extbase acties uit te voeren door het opbouwen van een speciaal request. 
Om de kwetsbaarheid succesvol te benutten is het nodig dat er minstens 
een (1) Extbase plug-in of module-actie toegankelijk is in een 
TYPO3-installatie. De ontbrekende toegangscontrole leidt onvermijdelijk 
tot het verkrijgen van informatie of het kunnen uitvoeren van code, 
afhankelijk van de actie die uitgevoerd kan worden.

Belangrijk: De oplossing zorgt voor wijzigingen in de interne 
afhandeling van requests in Extbase. Het Security Team heeft zorgvuldig 
elke extensie in de TYPO3 Extension Repository [3] gecontroleerd en 
heeft vastgesteld dat slechts een extensie wijzigingen benodigde om het 
afhankelijk was intern gedrag. Een bijgewerkte versie van deze extensie 
is zojuist ook gepubliceerd. Maatwerkextensies die de FormViewHelper uit 
de core wijzigen op dusdanige wijze dat zowel

      renderHiddenReferrerFields

als

      render

overschreven worden zal defect raken door het mislukken van de 
validatie-afhandeling. Extensies die afhangen van de interne

      __referrer

waarden van argumenten moeten wellicht ook bijgewerkt worden door 
gebruikt te maken van de officiële API

      $request->getReferringRequest()

in plaats van de oorspronkelijk code.

In het geval van een onwaarschijnlijke incompatibiliteit met een 
maatwerkextensie zal de TYPO3-installatie gewoon blijven werken met 
hooguit kleine afwijkingen.

Extra opmerkingen: TYPO3-installaties met minsten een (1) publieke 
Extbase-actie zijn te misbruiken zonder verdere authenticatie.

TYPO3-installaties zonder publiek toegankelijke Extbase-acties zijn ook 
te misbruiken voor ingelogde backend-gebruikers met toegang tot een 
backend-module die op Extbase gebaseerd is.

Hoewel sommige TYPO3-installaties (vooral met oudere TYPO3-versies) niet 
misbruikt kunnen worden wordt gebruikers van een TYPO3-versie van 4.3.0 
t/m 8.1.0 toch sterk aangeraden om tenminste de aangeboden patches toe 
te passen.

Oplossing: Werk TYPO3 bij naar versies 6.2.24, 7.6.8 of 8.1.1 die het 
beschreven probleem oplossen.

Alternatieve oplossing: Pas de patch handmatig toe die geschikt is voor 
de TYPO3 versie.

Alternatieve oplossing: Download het Zip-archief [4] dat een map bevat 
met een shell script en patches voor alle getroffen TYPO3 versies.

Credits: Dank aan Stefan Horlacher van Arcus Security GmbH die het 
probleem ontdekte en rapporteerd, Alex Kellner, die ook het probleem 
rapporteerde en Oliver Hader voor het ontdekken van een gerelateerde 
kwetsbaarheid.


Algemeen advies: Volg de adviezen in de TYPO3 Security guide [5] op. 
Schrijf je in voor de typo3-announce mailinglijst [6].

Algemene opmerking: Alle code wijzigingen die gerelateerd zijn aan 
beveiliging zijn gelabeld zodat ze eenvoudig zijn op te zoeken in het 
review-systeem [7].

[1] https://typo3.org/teams/security/security-bulletins/typo3-core/
[2] 
http://jvnrss.ise.chuo-u.ac.jp/jtg/cvss/cvss2.cgi?vector=%28AV:N/AC:M/Au:N/C:C/I:C/A:C/E:F/RL:O/RC:C%29&g=2&lang=en
[3] https://typo3.org/extensions/repository/
[4] https://typo3.org/fileadmin/security-team/bug76231/fix_76231.zip
[5] http://docs.typo3.org/typo3cms/SecurityGuide/
[6] http://lists.typo3.org/cgi-bin/mailman/listinfo/typo3-announce
[7] 
https://review.typo3.org/#/q/status:merged+project:Packages/TYPO3.CMS+topic:security,n,z

-- 
Jigal van Hemert
TYPO3 CMS Active Contributor

TYPO3 .... inspiring people to share!
Get involved: typo3.org

-- 
Jigal van Hemert
TYPO3 CMS Active Contributor

TYPO3 .... inspiring people to share!
Get involved: typo3.org

More information about the TYPO3-UG-Dutch mailing list