Gerade eben wurden die neuen TYPO3-Versionen veröffentlicht. Aufgrund von zahlreichen Sicherheitslücken ist ein Update anzuraten. Für ältere Versionen steht ein Shell-Script zur Verfügung.
Der detaillierte Bericht steht unter http://typo3.org/teams/security/security-bulletins/typo3-sa-2010-020/ bereit. Bei den Lücken handelt es sich um folgende:
- Remote File Disclosure
Der jumpUrl-Mechanismus ist anfällig um beliebige Dateien herunterzuladen. - Cross-Site Scripting
Die Lücken sind jeweils im Backend, daher ist ein Backenduser notwendig. - Remote File Disclosure
Im Extension Manager wurde ebenfalls eine Lücke gefixt. - Privilege Escalation
In der Extension sys_action war es möglich, User mit anderen Benutzergruppen anzulegen - Denial of Service
Aufgrund eines Bugs in PHP war es möglich, eine Denial of Service Attacke über die Email-Validierung zu generieren. - Cross-Site Scripting
Eine weitere XSS-Attacke war über die RemoveXSS-Funktion möglich
Also bitte rasch updaten!
Steffen Gebert am 06. Oktober 2010 um 11:48
