Das TYPO3-Sicherheitsteam hat heute morgen zwei Meldungen veröffentlicht, in denen auf Sicherheitslücken in den Extensions de_phpot, pmk_rssnewsexport und cm_rdfexport hingewiesen wird.

Die Extensions pmk_rssnewsexport und cm_rdfexport sind durch SQL-Injektionen angreifbar, weil Benutzereingaben nicht ausreichend gesäubert werden. Da die Funktionen der Erweiterungen bereits durch die Extension tt_news abgedeckt sind, sind beide Extensions nach Aussagen des TYPO3-Sicherheitsteams obsolet. Sie wurden daher aus dem Extension Repository gelöscht.

Auch die Extension de_phpot reinigt zahlreiche "get", "post" und "cookie" Variablen nicht ausreichend, wodurch SQL-Injektionen möglich werden. Zudem können bei de_phpot diverse Benutzerberechtigungen und Authentifizierungsüberprüfungen umgangen werden. Dadurch ist der Zugang zu Informationen ohne ausreichende Berechtigung möglich (information disclosure). Darüber hinaus ist es möglich, den PHP-Code so zu beeinflussen, dass er in eine Endlosschleife gerät. Dadurch könnte eine Dienstblockade ausgelöst werden (denial of service).

Die Erweiterung de_phpot wurde daher ebenfalls aus dem Extension Repository gelöscht. In Zusammenhang mit de_phpot wurde auch die Extension de_phpot_webbug gelöscht, die als Erweiterung von de_phpot diente, aber nicht als Stand-alone-Erweiterung verwendet werden kann.

Die oben genannten Erweiterungen gehören nicht zur TYPO3-Standardinstallation. TYPO3-Systeme, die diese Extensions nicht einsetzen, sind von den Sicherheitslücken daher nicht betroffen.