TYPO3-Sicherheitsteam veröffentlicht vier neue Security-Bulletins
Die Extension phpmydamin ist durch Cross Site Scripting angreifbar. Betroffen sind die alle Versionen einschließlich 3.0.1. Die neue Version 3.2.0 steht im Extension Repository zum Download bereit.
Durch eine unzureichende Prüfung von Benutzereingaben in der Erweiterung sr_sendcard ist beliebiges Ausführen von JavaScript-Code sowie das Einbetten beliebiger Bilder möglich. Betroffen von dieser Sicherheitslücke sind alle Versionen einschließlich Version 2.2.2. Die neue Version 2.2.4 behebt diese Sicherheitslücke und steht im Extension Repository zum Download bereit.
Auch die Extension wec_discussion ist durch beliebiges Ausführen von Code (Arbitrary Code Execution) und Cross Site Scripting angreifbar. Betroffen sind hier alle Versionen einschließlich 1.6.2. Die neue Version 1.6.3 kann aus dem Extension Repository heruntergeladen werden.
Zusätzlich zu den einzelnen Sicherheitsmeldungen wurde auch die zweite Ausgabe einer Sammlung behobener Sicherheitslücken veröffentlicht. Collective Security Bulletins, kurz CSB, beinhalten Extensions, die entweder eine geringe Downloadzahl zu verzeichnen haben oder für die TYPO3-Community nicht von großer Relevanz sind. Die Veröffentlichung der behobenen Sicherheitslücken in einer Sammlung soll den Arbeitsaufwand für das Sicherheitsteam und die Extensionautoren begrenzen.
Die aktuelle Sammlung umfasst zwölf Extensions:
- Codeon Petition (cd_petition)
- DAM Frontend (dam_frontend)
- Support view (ext_tbl)
- Packman (kb_packman)
- KB Unpack (kb_unpack)
- Branchenbuch (Yellow Pages) (mh_branchenbuch)
- SQL Frontend (mh_omsqlio)
- News Calendar (newscalendar)
- PDF Generator 2 (pdf_generator2)
- Pinboard (pinboard)
- Industry Database (Branchendatenbank) (pro_industrydb)
- Address Directory (sp_directory)
Die nicht verlinkten Extensions werden von den jeweilgen Autoren nicht mehr gepflegt und wurden daher aus dem Extension Repository gelöscht. Das Sicherheitsteam rät zur Deinstallation dieser Extensions und zum Löschen der dazugehörigen Ordner.
Behobene Sicherheitslücken in Extensions, die den Kern von TYPO3 betreffen oder auf andere Weise wichtig sind, sollen nach Aussage des Sicherheitsteams auch weiterhin in einzelnen Sicherheitsmeldungen veröffentlicht werden.
Die oben genannten Erweiterungen gehören nicht zur TYPO3-Standardinstallation. TYPO3-Systeme, die diese Extensions nicht einsetzen, sind von den Sicherheitslücken daher nicht betroffen.
- Links:
TYPO3 Security Bulletin wec_discussion
TYPO3 Security Bulletin sr_sendcard
TYPO3 Security Bulletin phpmyadmin
TYPO3 Collective Security Bulletin Nr. 2
- In Verbindung stehende News:
Tipps und Regeln für mehr Sicherheit bei TYPO3-Extensions- TYPO3-Sicherheitsteam: sechs Extensions sofort updaten
- Neue Version der phpmyadmin-Extension behebt Sicherheitslücke
- Wiki zu TYPO3-Extensions veröffentlicht
- TYPO3-Sicherheitsteam veröffentlicht Sammlung behobener Sicherheitslücken
- Neue TYPO3-Versionen beheben Sicherheitslücken
- Sicherheitslücken in Extension sr_feuser_register und air_filemanager behoben
- Sicherheitslücken in vier TYPO3-Extensions behoben
- Sicherheitslücken in Extensions mailformplus und powermail behoben
- Sicherheitslücken in drei TYPO3-Extensions gefunden
Diesen Beitrag jetzt bookmarken!
