Security: Richtext Editor TYPO3


Noodzaak: CRITICAL als safe_mode uit staat.

 

Oplossingen:

  1. update TYPO3 naar versie 4.0.4
  2. update Richtext Editor naar een van de genoemde versies (afhankelijk van je TYPO3 versie)
  3. quickfix als een van bovenstaande niet mogelijk zijn

 

Van toepassing op:
Alle versies van TYPO3 en met name vanaf versie 4.0 waarin deze Richtext Editor als systeem extensie zit.

Waar te vinden of jouw installatie deze heeft? Via de Extension Manager kun je vinden of deze extensie geinstalleerd is.

 

Probleem omschrijving


In de Richtext Editor van TYPO3 (htmlArea RTE) zit een bug die een kwaadwillend iemand de gelegenheid geeft om willekeurige code uit te voeren op de server waarop TYPO3 staat. Door het TYPO3 Security Team zijn er drie oplossingen aangedragen. Hiervoor hoeft de Richtext Editor zelfs niet actief gebruikt te worden! Dus als je deze wel in je extension lijst hebt staan, maar niet geactiveerd hebt, dan nog moet je de extensie updaten.

Oplossing voor TYPO3 versies 4.x


Uiteraard is de beste oplossing voor TYPO3 versies 4.x om de TYPO3 core te updaten naar versie 4.0.4. Is dit om wat voor reden niet mogelijk, volg dan de handelswijze zoals hieronder omschreven staat.

1. Download het .t3x bestand van de nieuwe editor (versie 1.4.3) van de Extension Repository en sla deze tijdelijk op je PC op;

2. De Richtext Editor is een systeem extensie. Dat betekent dat je deze meestal niet kunt updaten zonder dat je de gehele TYPO3 core gaat updaten. Dat betekent in dit geval dat je iets meer zult moeten doen, dan even een TYPO3 extensie installeren. Login op de backend van TYPO3 en ga naar de install tool (kan natuurlijk ook rechtstreeks, net wat je handig vindt), kun je daar niet bij, vraag dan hulp aan je ISP. Ga vervolgens naar 'All Configuration'.
Scroll nu naar beneden totdat je ziet staan [allowSystemInstall] in de [EXT] categorie. Standaard heeft dit de instellingswaarde van 0, waardoor je geen extensies in de core kunt installeren. Verander deze waarde naar 1.




Scroll nu helemaal naar beneden en klik op “Write to localconf.php”. Nu kun je systeem extensies installeren. Het is raadzaam om dit na deze exercitie weer op 0 te zetten.

 

3. De volgende stap is om de gedownloade extensie daadwerkelijk te installeren. In de Backend van TYPO3 klik je op “Ext Manager” onder "Tools" om bij de Extension Manager te komen. Kies als je daar bent uit het dropdown menu de optie “Import Extensions”.




Als het scherm is bijgewerkt, druk dan op de "browse" knop naast het invoerveld onder de tekst “Upload extension file (.t3x):”. Je krijgt dan een standaard Windows scherm te zien waarmee je een bestand kunt vinden, en dan specifiek het bestand dat in stap 1 is gedownload.




4. Nu is het van belang dat we de extensie op de juiste plek installeren. We hebben daarbij de keuze uit Local, Global en System.

Kies in dit geval voor “System (typo3/sysext/)”. Kies geen van de andere opties!



 

5. Vink het selectieblokje genaamd “Overwrite any existing extension!” aan. Hiermee zorg je ervoor dat de oude versie wordt overschreven (en dat willen we maar al te graag).

6. Klik op de button “upload extension file” om de extensie te installeren.

Oplossingen voor TYPO3 versies ouder dan versie 4.x


Voor TYPO3 versie 3.8.x        rtehtmlarea versie 1.2.1 (vervanging van 1.2.0)
Voor TYPO3 versie 3.7.x        rtehtmlarea versie 1.1.4 (vervanging van 1.1.3)

Quickfix (alleen als laatste redmiddel!)


Verwijder het bestand 'class.tx_rtehtmlarea_pi1.php' van een of meerdere van de volgende locaties.

PATH_TO_YOUR_SITE/typo3/sysext/rtehtmlarea/pi1
PATH_TO_YOUR_SITE/typo3/ext/rtehtmlarea/pi1
PATH_TO_YOUR_SITE/typo3conf/ext/rtehtmlarea/pi1

Oorspronkelijk bericht: TYPO3.org