Content Management in der Praxis

Schwerwiegende Sicherheitslücken in TYPO3

Im Systemkern von Typo3 sind 15 schwerwiegende Sicherheitslücken entdeckt worden, die unter anderem Attacken in Form von Cross-Site-Scripting, MySQL-Injections und Code-Einschleusungen ermöglichen.

Von diesen Sicherheitslücken, die im Security Advisory TYPO3-SA-2010-012 beschrieben werden, sind sind allein sieben mit "High" eingestuft. Betroffen sind die TYPO3-Versionen 4.1.13 und kleiner, 4.2.12 und kleiner, 4.3.3 und kleiner sowie 4.4.

Es wird allen Administratoren geraten, umgehend auf die Versionen 4.1.14, 4.2.13, 4.3.4 bzw. 4.4.1 zu aktualisieren, um diese Löcher zu stopfen.

Sicherheitslücke in Erweiterung "phpMyAdmin"

Des weiteren wurde in der Drittanbieter-Erweiterung "phpMyAdmin" eine Sicherheitslücke entdeckt. Diese Erweiterung sollte eigentlich nur für TYPO3-Administratoren erreichbar und nutzbar sein. Wie in TYPO3-SA-2010-014 beschrieben, versäumt es die Erweiterung jedoch, Benutzerrechte genauer zu überprüfen, so dass ein "normaler" Backend-User Zugriff auf das Datenbank-Administrationsinterface erhalten kann. Hier wird ein Update auf "phpMyAdmin 4.8.1" dringend empfohlen.

UPDATE 02.08.2010

Beim Erstellen der Upgrades haben sich offensichtlich einige neue Bugs eingschlichen, die sich von Version zu Version unterscheiden. Administratoren sollten daher unbedingt die Hinweise der Entwickler beachten.

UPDATE 06.08.2010

Es stehen jetzt neue Update-Versionen zur Verfügung: 4.1.15, 4.2.14, 4.3.5 und 4.4.2.

zurück zu TYPO3-News