TYPO3 Blogger » Bugs

Sicherheitslücken in diversen TYPO3 Extensions

Peter Kraume — Thu, 02 Feb 2012 12:42:44 +0000

Für folgende Extensions wurde heute ein Sicherheitsbulletin veröffentlicht:

Kritische Sicherheitslücke:

Kitchen recipe (mv_cooking)
Category-System (toi_category)
White Papers (mm_whtppr)

Hohes Risiko:

Documents download (rtg_files)
Post data records to facebook (bc_post2facebook)
System Utilities (sysutils)
Webservices for TYPO3 (typo3_webservice)

Mittleres Risiko:

Modern FAQ (irfaq)
Euro Calculator (skt_eurocalc)
Yet another Google search (ya_googlesearch)

Niedriges Risiko:

CSS styled Filelinks (css_filelinks)
Terminal PHP Shell (terminal)
BE User Switch (beuserswitch)
Additional TCA Forms (jftcaforms)
UrlTool (aeurltool)

Details finden sich im Security Bulletin TYPO3-EXT-SA-2012-001.

Ein Update der betroffenen Extensions wird wie immer dringend empfohlen. Die Extensions, für die es keine Updates mehr gibt, sollten gelöscht werden.

------------------------------------------------------
Dies ist ein Post vom TYPO3 Blog typo3blogger.de!

TYPO3 4.5.10 und 4.6.3 beheben Regression im Rich Text Editor

Peter Kraume — Tue, 20 Dec 2011 12:15:11 +0000

Heute wurden die TYPO3 Versionen 4.5.10 und 4.6.3 veröffentlicht, die eine Regression im RTE beheben, die im Sicherheitsupdate von letzte Woche eingefügt wurden. Eigene Stylesheets im Backend wurden nicht mehr geladen.

Die Original News findet sich hier.

------------------------------------------------------
Dies ist ein Post vom TYPO3 Blog typo3blogger.de!

Suggestwizard nun auch in Flexforms möglich – Türchen 8

Georg Ringer — Thu, 08 Dec 2011 07:00:53 +0000

Die schönsten Weihnachtsgeschenke macht man sich manchmal doch selbst. Mit den nächsten Releases von 4-5, 4-6, 4-7 ist der Suggestwizard auch in Flexform-Feldern möglich.

Seit einiger Zeit bietet der dieser Wizard im TCA die praktische Möglichkeit, Relationen zu anderen Tabellen über ein Suggest-Feld hinzuzufügen. Grundsätzlich sind Flexforms dem TCA sehr ähnlich und verwenden die gleiche Syntax (statt PHP einfach XML) zur Konfiguration. Dennoch gibt es ein paar Unterschiede, die mit dem Merge des Tickets #22232 gelöst wurden.

Eine beispielhafte Konfiguration

>
	>
		>1>
		>LLL:EXT:lang/locallang_general.xml:LGL.startingpoint>
		>
			>group>
			>db>
			>pages>
			>3>
			>50>
			>0>
			>1>
			>
				>
					>suggest>
				>
			>
		>
	>
>

------------------------------------------------------
Dies ist ein Post vom TYPO3 Blog typo3blogger.de!

Security Bulletin veröffentlicht

Tim Lochmüller — Mon, 29 Aug 2011 21:10:55 +0000

Es wurden gleich zwei Security Bulletins veröffentlicht. Das Erste betrifft das allgegenwärtige Sorgenkind phpmyadmin (Bulletin) und das zweite ist ein Sammel-Bulletin. Von dem zweiten sind die folgenden Extensions betroffen:

MM DAM – FEFileList (mm_dam_filelist)
Events (julle_events)
WEC Staff Directory (wec_staffdirectory)
TGM news (tgm_news)
TGM media (tgm_media)
TGM calendar module (tgm_cal)
DAM Lightbox (damlightbox)
Download system (sb_downloader)
iwbase (iwbase)
Fussballtippspiel (toto)
Font resizer (fontsizer)
Adminer (t3adminer)

Wenn Ihr betroffende Erweiterungen einsetzt heißt es wie immer, updaten oder eine andere Lösung finden…

------------------------------------------------------
Dies ist ein Post vom TYPO3 Blog typo3blogger.de!

Bug Day am kommenden Freitag

Tim Lochmüller — Wed, 24 Aug 2011 19:14:18 +0000

Nachdem beim letzten mal ein Bug Weekend stattgefunden hat, geht es kommenden Freitag wieder mit einem “Bug Day” weiter. Am 26.08 wird sich erneut getroffen, um Fehler aus TYPO3 zu beheben. Koordiniert wird der Bug Day wie immer über IRC.

Alle Infos zum Bug Day auf typo3.org.

------------------------------------------------------
Dies ist ein Post vom TYPO3 Blog typo3blogger.de!

TER schlecht erreichbar

Tim Lochmüller — Fri, 19 Aug 2011 17:26:12 +0000

Da es hier und hier schon zu Fragen kam, ob einige Extensions nicht mehr im TER sein, kurz die Info. Vorweg, diejenigen kann ich beruhigen. Es ist nur die Ausgabe der typo3.org Suche, welche im Moment nicht richtig funktioniert. Ich denke es gibt im Moment ein paar Umstellungen, welche nicht ganz reibungslos sind.

Mein Tipp: Sucht die Extension über das Backend von TYPO3. Im Extension Manager findet man alle Extensions und kann diese auch laden.

------------------------------------------------------
Dies ist ein Post vom TYPO3 Blog typo3blogger.de!

TYPO3 Bug Weekend statt regulärem TYPO3 Bug Day

Peter Kraume — Thu, 28 Jul 2011 09:43:52 +0000

Am kommenden Wochenende (29.-31. Juli) findet statt dem regulären Bug Day gleich ein ganzes Bug Weekend statt. TYPO3 4.6-beta1 wird nächste Woche erscheinen und mit der ersten Beta Version ist auch ein Feature Freece verbunden. Von daher dient das Wochenende dazu, die letzten unerledigten Features noch in die Version zu integrieren. Details finden sich hier.

------------------------------------------------------
Dies ist ein Post vom TYPO3 Blog typo3blogger.de!

Securityrelease für TYPO3 4-3, 4-4, 4-5

Georg Ringer — Wed, 27 Jul 2011 11:49:27 +0000

Gerade wurde die Veröffentlichung von 4.3.12, 4.4.9 und 4.5.4 bekannt gegeben. Alle Details gibt es auf typo3.org. Es handelt sich dabei sowohl um Lücken für das Frontend, als auch das Backend. Ein Update ist wie immer absolut empfehlenswert!

Frontent

XSS über den Parameter JSwindow von typolink.

Backend

Information Disclosure beim Backend-Login
Vermeidung der 5 Sekunden Sperre bei falschen Logindaten
XSS im Adminpanel
XSS im browse_links Popup
XSS im Recycler
XSS in den Flashmessages
Information Disclosure im Workspace-Modul
Information Disclosure durch css_styled_content
Sicherheitslücke im Handling von serialize/unserialize
Fehlerhafte Funktion removeXSS
Fehlende Checks in der ExtDirect-API

Vielen Dank an alle, die die Issues reporten, bearbeiten, lösen, testen und an der Realisierung eines sicheren TYPO3 teilhaben.

------------------------------------------------------
Dies ist ein Post vom TYPO3 Blog typo3blogger.de!

TYPO3 Bug Manager

Peter Kraume — Mon, 18 Jul 2011 08:54:58 +0000

Beim Core Team Meeting vor den diesjährigen TYPO3 Developer Days wurde unter anderem vereinbart, die Funktion eines sogenannten “TYPO3 Bug Managers” einzuführen.

Jedes Core Team Mitglied soll für 2 Wochen im Jahr die Patenschaft für den TYPO3 Bugtracker übernehmen. Zu den Aufgaben gehört die Kategorisierung neuer Bugs, die Überwachung der Bugs und die Einschätzung der Schwierigkeit, einen Bug zu beheben. Außerdem sollte ein Bericht, der “Weekly Bug Summary” verfasst werden. Der Friendly Ghost of the Week steht auch allen als Ansprechpartner zur Verfügung, die Interesse an der Mitarbeit haben.

Im Google Calendar des Core Team kann man sehen, wer für die jeweilige Woche der Bug Manager ist. Weitere Ergebisse des Core Team Meetings finden sich im Protokoll im Wiki.

------------------------------------------------------
Dies ist ein Post vom TYPO3 Blog typo3blogger.de!

Sicherheitslücke in ke_search (TYPO3-SA-2011-007)

Peter Kraume — Wed, 29 Jun 2011 07:46:44 +0000

Das TYPO3 Security hat eine schwere Sicherheitslücke in der TYPO3 Extension ke_search bekannt gegeben. Es besteht die Möglichkeit einer SQL Injection. Eine aktualisierte Version 0.3.1 ist im TER verfügbar. Das Update wird dringend empfohlen!

Das Security Bulletin ist hier verfügbar.

------------------------------------------------------
Dies ist ein Post vom TYPO3 Blog typo3blogger.de!

Sicherheitslücken in Galerien

Tim Lochmüller — Mon, 20 Jun 2011 21:43:49 +0000

Letzte Woche wurde der Security Bulletin TYPO3-SA-2011-006 veröffentlicht. In dem Bulletin ging es um die Extensions “Photogallery (ce_gallery)” und “SEO Photogallery by Evorion (evgallery)”, welche beide für SQL Injections anfällig waren. Zu beiden Erweiterungen gibt es ein Update im TER, welches dringend eingespielt werden sollte. ------------------------------------------------------Dies ist ein Post vom TYPO3 Blog typo3blogger.de!

------------------------------------------------------
Dies ist ein Post vom TYPO3 Blog typo3blogger.de!

BugDay am kommenden Freitag

Tim Lochmüller — Mon, 20 Jun 2011 21:40:07 +0000

Am kommenden Freitag findet erneut ein Bug-Day statt. Da es sich in einigen Bundesländern um einen Brückentag handelt, hat man vielleicht genug Ruhe und Nerven mal an dem Event teil zu haben. Alle Infos gibt es in der letzten typo3.org-News bzw. auf der Wiki-Seite des Bug-Days.

------------------------------------------------------
Dies ist ein Post vom TYPO3 Blog typo3blogger.de!

Bug Day am 27. Mai

Tim Lochmüller — Fri, 13 May 2011 20:42:35 +0000

So wie man den typo3.org News eben entnehmen konnte, gibt es heute in 14 Tagen erneut einen Bug-Day. Wie immer ist jede helfenden Hand gefragt. Der Fokus liegt natürlich auf der Stabilisierung von TYPO3 4.5.x LTS, aber es wird bestimmt auch ein wenig an der neuen Alpha Version von 4.6 getestet und gedebuggt. Mehr Informationen gibt es auf typo3.org.

------------------------------------------------------
Dies ist ein Post vom TYPO3 Blog typo3blogger.de!

Security Bulletin TYPO3-SA-2011-004: Lücken in powermail

Georg Ringer — Wed, 11 May 2011 07:04:37 +0000

Wie schon seit einem Posting hier bekannt, gab es in der Extension powermail Sicherheitslücken, die mit der Version 1.6.3 behoben sind. Wie immer der Rat: Schnell updaten und Sicherheitslücken an das Security-Team melden. Hier das offizielle Statement.

------------------------------------------------------
Dies ist ein Post vom TYPO3 Blog typo3blogger.de!

Probleme mit dem Sicherheitstoken nach Update auf TYPO3 4.5

Peter Kraume — Tue, 26 Apr 2011 07:15:29 +0000

Der eine oder andere ist vielleicht nach einem Update auf die zurzeit aktuellste TYPO3 Version 4.5.2 z.B. beim Kopieren von Inhaltselementen auf diese Fehlermeldung gestoßen:

Die Validierung des Sicherheitstokens dieses Formulars ist fehlgeschlagen. Bitte laden Sie das Formular erneut und schicken Sie es dann noch einmal ab.

In diesem Fall empfiehlt es sich, die installierten Extensions auf XCLASS Nutzung im Backend zu überprüfen.

Am schnellsten geht das über das Modul “Konfiguration”. In der Drop Down Liste “$TYPO3_CONF_VARS (Globale Konfiguration)” auswählen und dann den Baum bei [BE] ausklappen. Unter XCLASS kann man dann die Extensions sehen, die den TYPO3 Core mittels XCLASS modifizieren.

Überprüfen sollte man dann vor allem die Extensions, die z.B. das Clipboard XCLASSen, wie z.B. kb_conttable oder kb_nescefe. Wenn die Extension Autoren keine neue für TYPO3 4.5 kompatible Version ihrer Extension veröffentlichen bleibt leider nur die Deinstallation.

Ursache der Fehlermeldung ist, dass in TYPO3 4.5 ein neuer Schutz gegen Cross Site Request Forgery (CSRF) eingeführt wurde. Georg hat darüber an dieser Stelle bereits im Januar berichtet.

Bitte postet weitere Extensions, die euch in diesem Zusammenhang aufgefallen sind, als Kommentar.

------------------------------------------------------
Dies ist ein Post vom TYPO3 Blog typo3blogger.de!