TYPO3-Sicherheitsteam veröffentlicht Sammlung behobener Sicherheitslücken
Wie Lars Houmark, Leiter des TYPO3-Sicherheitsteams, in einem Blogpost im TYPO3-Blog berichtet, hat man sich innerhalb des Sicherheitsteams zu einer neuen Form der Veröffentlichung von Security-Bulletins entschlossen.
Houmark begründet diesen Schritt mit der zunehmenden Popularität von TYPO3 und der damit wachsenden Anzahl der Erweiterungen im Extension Repository. Dadurch sei auch die Zahl der gemeldeten Sicherheitslücken gestiegen.
Weil der Zeitaufwand zum Erstellen und Veröffentlichen eines Security Bulletins für jede einzelne Extension zu hoch sei, hat sich das Sicherheitsteam zur Veröffentlichung von Bulletin-Sammlungen, sogenannten Collective Security Bulletins (CSB), entschlossen. Das hat laut Lars Houmark den Hintergrund, dass einige Extensions aufgrund geringerer Downloadzahlen oder ähnlicher Gründe nicht von so großer Wichtigkeit für die TYPO3-Community sind.
Im ersten Collective Security Bulletin (CSB) wird auf behobene Sicherheitslücken in 13 Extensions hingewiesen, dazu gehören:
- Frontend Filemanager (air_filemanager)
- CoolURI (cooluri)
- DCD GoogleMap (dcdgooglemap)
- JobControl (dmmjobcontrol)
- nepa-design.de Spam Protection (nd_antispam)
- Diocese of Portsmouth Calendar Today (pd_calendar_today)
- Diocese of Portsmouth Training Courses (pd_trainingcourses)
- Download system (sb_downloader)
- Random Prayer (ste_prayer)
- TIMTAB - social bookmark icons (timtab_sociable)
- Resource Library (tjs_reslib)
- Fussballtippspiel (toto)
- TARGET-E WorldCup Bets (worldcup)
Die nicht verlinkten Extensions werden von den jeweilgen Autoren nicht mehr gepflegt und wurden daher aus dem Extension Repository gelöscht. Das Sicherheitsteam rät zur Deinstallation dieser Extensions und zum Löschen der dazugehörigen Ordner.
Von Fall zu Fall will das Sicherheitsteam entscheiden, ob eine Extension einen eigenen Security Bulletin benötigt oder mit zu einer Sammlung (CSB) hinzugefügt werden kann.
Die oben genannten Erweiterungen gehören nicht zur TYPO3-Standardinstallation. TYPO3-Systeme, die diese Extensions nicht einsetzen, sind von den Sicherheitslücken daher nicht betroffen.
- In Verbindung stehende News:
Wiki zu TYPO3-Extensions veröffentlicht- TYPO3-Sicherheitsteam veröffentlicht vier neue Security-Bulletins
- Neue TYPO3-Versionen beheben Sicherheitslücken
- Sicherheitslücken in Extension sr_feuser_register und air_filemanager behoben
- Sicherheitslücken in vier TYPO3-Extensions behoben
- Sicherheitslücken in Extensions mailformplus und powermail behoben
- Sicherheitslücken in drei TYPO3-Extensions gefunden
Diesen Beitrag jetzt bookmarken!
