Das TYPO3 Security Team hat soeben ein neues Security Bulletin herausgegeben. Im Gegensatz zu den Schwachstellen im TYPO3 Core, die Ende Juli geschlossen wurden, sind diesmal nur TYPO3 Versionen von 6.0 aufwärts betroffen, da alle Sicherheitslücken im File Abstraction Layer Modul zu finden sind. Zum einen werden die Zugriffsrechte nicht korrekt geprüft, zum anderen besteht die Möglichkeit, fremden Code auszuführen.
Ein Update auf TYPO3 6.1.4 bzw. 6.0.9 behebt die Schwachstellen. Wichtig ist, dass nach dem Update alle Caches und zudem das gesamte Verzeichnis typo3temp/Cache gelöscht werden.
Administratoren sollten Dateiberechtigungen für Backend-Benutzer oder Gruppen mit benutzerdefiniertem TS Config anstatt über die Checkboxen in den Benutzer- oder eine Gruppendatensätzen setzen. Dies ermöglicht eine feiner granulierte Steuerung für einzelne Datei-Aktion Berechtigungen. Ein Beispiel dazu findet sich im Security Bulletin.
Die Remote Code Execution Schwachstelle bezieht sich auf die bereits im letzten Security Bulletin genannte Lücke, die aber noch nicht ausreichend gestopft wurde.
Alle Details zu den genannten Sicherheitslücken finden sich im Security Bulletin TYPO3-CORE-SA-2013-003.