Das TYPO3 Security Team hat soeben das Security Bulletin TYPO3-CORE-SA-2013-001 zu zwei Sicherheitslücken im TYPO3 Core veröffentlicht. Demnach existiert in allen TYPO3 Instanzen, die Extbase Extensions nutzen, eine kritische SQL Injection Lücke wenn das Query Object Model genutzt wird und die Relationen durch Besucher erzeugt werden. (z.B. : $query->contains(‚model.categories‘, $userProvidedValue) )
Die zweite Sicherheitslücke betrifft das jumpURL Feature, das unter anderem von Direct Mail verwendet wird, um Zugriffe auf externe URLs z.B. aus Newslettern zu tracken. Um den Fehler zu beheben musste allerdings das bekannte Verhalten von TYPO3 verändert werden, so dass bereits erzeugte Links mit jumpURL nicht mehr funktionieren werden.
Wenn das jumpURL Feature verwendet wird, sollte als erstes der TYPO3 Cache gelöscht werden um zu verhindern, dass Links ohne den nötigen Überprüfungshash weiterhin funktionieren.
Für User, die unbedingt darauf angewiesen sind, dass alte jumpURLs weiterhin funktionen können diese Extension (t3x, zip) des Security Teams nutzen oder die Extension an eigene Bedürfnisse anpassen. Details dazu finden sich im Security Bulletin.
Die TYPO3 Versionen 4.5.24, 4.6.17, 4.7.9 oder 6.0.3 beheben die genannten Sicherheitslücken.