04. September 2013

Erneut kritische Sicherheitslücken im TYPO3 6.x Modul FAL

in Bugs, Releases, Security, TYPO3

Das TYPO3 Security Team hat soeben ein neues Security Bulletin herausgegeben. Im Gegensatz zu den Schwachstellen im TYPO3 Core, die Ende Juli geschlossen wurden, sind diesmal nur TYPO3 Versionen von 6.0 aufwärts betroffen, da alle Sicherheitslücken im File Abstraction Layer Modul zu finden sind. Zum einen werden die Zugriffsrechte nicht korrekt geprüft, zum anderen besteht die Möglichkeit, fremden Code auszuführen.

Ein Update auf TYPO3 6.1.4 bzw. 6.0.9 behebt die Schwachstellen. Wichtig ist, dass nach dem Update alle Caches und zudem das gesamte Verzeichnis typo3temp/Cache gelöscht werden.

Administratoren sollten Dateiberechtigungen für Backend-Benutzer oder Gruppen mit benutzerdefiniertem TS Config anstatt über die Checkboxen in den Benutzer- oder eine Gruppendatensätzen setzen. Dies ermöglicht eine feiner granulierte Steuerung für einzelne Datei-Aktion Berechtigungen. Ein Beispiel dazu findet sich im Security Bulletin.

Die Remote Code Execution Schwachstelle bezieht sich auf die bereits im letzten Security Bulletin genannte Lücke, die aber noch nicht ausreichend gestopft wurde.

Alle Details zu den genannten Sicherheitslücken finden sich im Security Bulletin TYPO3-CORE-SA-2013-003.

3 Reaktionen zu “Erneut kritische Sicherheitslücken im TYPO3 6.x Modul FAL”

Kommentare abonnieren (RSS) oder TrackBack URL

Solche Meldungen lassen an der Enterprisetauglichkeit von TYPO3 durchaus zweifeln. Also werte Developer: Mal weniger Snowboardfahren und dafür mehr Bugfixing.

be2just am 04. September 2013 um 20:18

@be2just Ich kann Deinen Zweifel an der Enterprisetauglichkeit von TYPO3 anhand des o.g. Beispiels nicht nachvollziehen. Denn eine akkurate und transparente Behandlung von critical bugs ist ein Qualitätsmerkmal. Eine Software dieser Komplexität ohne Bugs gibt es nicht.

Dein Wunsch an die Developer, sie mögen weniger snowboarden und mehr Bugs fixen, finde ich persönlich auch nicht nachvollziehbar, sondern eher etwas unverschämt. Die Arbeit an TYPO3 CMS erfolgt unbezahlt und freiwillig, wie in Open-Source-Projekten üblich und sinnvoll. Insofern möchte ich antworten: Beteilige Dich doch einfach an Bug-Suche und Bug-Fixing? Hilf mit?

Sacha am 05. September 2013 um 13:38

ja – voll unverschämt.
Das hier immer wieder solche Kommentare zu lesen sind !!

take it or leave it

Kim am 06. September 2013 um 14:21

Kategorien

Archiv