TYPO3 Security-Update
Durch die gefundene Lücke in PHPMailer können Angreifer beliebige Kommandozeilenbefehle ausführen. Betroffen sind alle Extensions die PHPMailer integrieren. Im Einzelnen sind dies:
- pil_mailform (Version 3.0.3 und niedriger)
- mk_mailorderplan (Version 0.3.2)
- job_bank_resume_mgr (Version 0.1.0)
- classifiedads (Version 0.1.0 und niedriger)
- agprjmgm (Version 0.0.1)
- bb_phpmailer (Version 1.73.1 und niedriger)
- ext_tbl (Version 0.0.102 und niedriger)
- iwi_phpmail (Version 1.0.0 und niedriger)
Das Security-Team hat alle Autoren der gennanten Extensiosn angeschrieben. Für die ersten vier Extensions liegen bereits neue Versionen im TYPO3 Extension Repository (TER) bereit, die die Lücke schließen. Die Autoren der restlichen Extensions haben bisher nicht auf die Anfrage des Security-Teams reagiert. Im TYPO3-Security-Bulletin befindet sich allerdings eine Anleitung, mit der die Lücke direkt im Quellcode von PHPMailer selbst geschlossen werden kann.
Bereits am Anfang letzter Woche wurden zwei Sicherheitslücken geschlossen, deren Gefahrenrisiko das Security-Team als "Medium" bzw. "Low" einstuft. Für die Extensions "faq" und "phpmyadmin" liegen im TER neue Versionen bereit, die die Lücken schließen.
Das Security-Team rät allen TYPO3-Administratoren, das TYPO3-Security-Cookbook zu lesen sowie die Website der TYPO3-Security-Bulletins regelmäßig zu besuchen oder die Mailingliste "TYPO3 Announce List" zu abonnieren.
- In Verbindung stehende News:
Sicherheitslücken in drei TYPO3-Extensions gefunden- Neue TYPO3-Version behebt Sicherheitslücke in Indexed Search
- Neue Version der mm_forum-Extension behebt Sicherheitslücken
- Neue Version der TYPO3-Gästebuch-Extension ve_guestbook behebt Sicherheitslücke
- Interview mit TYPO3-Kernentwickler Peter Niederlag zur Qualitätssicherung bei Extensions
- Security-Team verstärkt Suche nach Sicherheitslücken in TYPO3-Extensions
Diesen Beitrag jetzt bookmarken!
