LDAP / SSO Authentication ig_ldap_sso_auth mit Sicherheitslücke
Aufgrund einer Sicherheitslücke bei der TYPO3 Extension ig_ldap_sso_auth wurde heute das erste Security Bulletin für 2015 versendet. Die Version 2.0.0 ist für unzulässige Authentifizierung anfällig.
Betroffene Version: 2.0.0
Sicherheitsrisiko: Kritisch
Lösung: Update auf aktuellste Version 2.0.1
Unklar ist derzeit, wieso das Security Bulletin erst heute versendet wurde. Die Version 2.0.1 ist bereits seit 19.12.2014 im TER verfügbar.
TYPO3 und LDAP
Die Anbindung an einen LDAP (Lightweight Directory Access Protocol) Verzeichnisdienst ermöglicht es Frontend Benutzern (FE-Users) und Backend (BE-Users) Benutzern auch für TYPO3 das gleiche Passwort verwenden zu können, wie bei anderen Diensten oder am Arbeitsplatzrechner. Bei Änderungen des Passworts an zentraler Stelle werden so mit einem Handgriff alle Logins der unterschiedlichen Systeme aktualisiert. Eingesetzt wird LDAP deshalb hauptsächlich bei größeren Unternehmen mit entsprechender technischer Infrastruktur.
Die TYPO3 Extension ig_ldap_sso_auth ermöglicht zusätzlich Single Sign-On (SSO). Diese Funktionalität ermöglicht es Benutzern nach einem erfolgreichen Login an einem System zu einem anderen System zu wechseln, ohne erneute Authentifizierung. Bei ig_ldap_sso_auth kann im Hintergrund ein MS Windows Server angefragt werden. Hierzu wird die NTLM Authentifizierung als Apache2 Modul auf dem Server benötigt.