30. Dezember 2015
Rsaauth-Problem: Backend-Login ist nicht möglich
Unser heutiger Beitrag aus der Typo3-Reihe beschäftigt sich mit einem Problem und dessen Lösung. Wir zeigen euch, wie rsaauth per ftp deinstalliert werden kann, wenn ein Login ins Backend ohne rsaauth nicht mehr möglich ist.
Zur Problembeschreibung
Wer die Typo3-Extension RSA Authentication oder kurz „rsaauth“ im Backend deinstalliert, erhält nach dem Ausloggen beim erneuten Login-Versuch eine Fehlermeldung. Diese lautet:
„No authentication methods available. Please, contact your TYPO3 administrator.“
Die Eingabemaske zum Typo3-Backend erscheint zwar ganz normal, nach der Eingabe der Daten erscheint jedoch ein Overlay mit der Fehlermeldung. Der Login wird nicht ausgeführt.
Der erste Impuls zur Behebung des Problems wird nun sein, die Extension wieder aktivieren zu wollen. Allerdings ist ein Login ohne rsaauth jedoch nicht mehr möglich. Doch ohne einen Zugang zum Backend, ist das möglich? Natürlich, geht das. Mithilfe eines kleinen Tricks.
Lösung des rsaauth-Problems
Um das Problem zu beheben und das Einloggen wieder zu ermöglichen, wird die Extension nicht direkt aktiviert. Stattdessen wird die Login-Methode von Typo3 in der LocalConfiguration.php via FTP geändert. So greift Typo3 beim Login nicht mehr auf die inaktive Extension rsaauth zurück, sondern auf den Standard-Login. Rsaauth wird also über die LocalConfiguration.php deaktiviert, indem wir unserem Typo3-System eine andere Login-Methode zuweisen.
Der Workflow sieht dann folgendermaßen aus:
- Wir loggen uns via FTP ein
- Im Ordner typo3conf suchen wir die Datei LocalConfiguration.php
- In der Datei LocalConfiguration.php suchen wir die Zeile ‚loginSecurityLevel‘ => ‚rsa‘
- Diese Zeile ‚loginSecurityLevel‘ => ‚rsa‘ ändern wir in ‚loginSecurityLevel‘ => ’normal‘
- Wir speichern die LocalConfiguration.php ab und laden sich hoch
- Anschließend sollte zur Sicherheit der Cache des Browsers gelöscht werden
- Jetzt funktioniert der Login wieder wie gewohnt, da Typo3 nun beim Loginvorgang nicht mehr auf rsaauth zurückgreift.
Achtung: Sobald rsaauth nun wieder aktiviert wird, sollte man sicherstellen, dass das Login Security Level wieder zu ‚rsa‘ geändert wird.
Kritische Sicherheitslücke bei älteren CMS-Versionen
Das Problem, dessen Behebung dieser Blogbeitrag thematisiert, kam natürlich nicht ohne Hintergrund zustande. Rsaauth ist der Hauptdarsteller in einer Sicherheitsmeldung für Typo3. Wie in dem folgenden Beitrag von Heise zu lesen ist, kann rsaauth für eine Sicherheitslücke in älteren Typo3 Systemen verantwortlich sein. Schon allein durch das Eingeben eines bereits registrierten Benutzernamens erfolgt ein Login – wohlgemerkt ist dafür nicht mal ein Passwort notwendig. Diese Sicherheitslücke ist erst dann von Bedeutung, wenn bei den genannten Versionen die rsaauth-Erweiterung aktiviert wurde und folgende Konfiguration aufweist.
$GLOBALS['TYPO3_CONF_VARS']['FE']['loginSecurityLevel'] = 'rsa'
Von der Typo3-Sicherheitslücke sind folgende Versionen betroffen
- Version 3.0 bis 4.3.14
- Version 4.0 bis 4.4.15
- Version 5.0 bis 4.5.39
- Version 6.0 bis 4.6.18
Die Entwickler empfehlen ein Update auf Version 4.5.40, Nutzer neuerer Versionen ab 4.7.0 sind nicht betroffen. Ob diese Sicherheitslücke besteht sollte stets individuell geprüft werden. Wie das weitere Vorgehen aussieht, sollte mit den jeweiligen Verantwortlichen abgesprochen werden. Ihr habt noch Fragen zum Workflow oder benötigt Unterstützung rsaauth in der Localconfiguration zu deaktivieren? Postet uns eure Kommentare über unser Kontaktformular und wir antworten euch.
