27. Oktober 2009

TYPO3 Sicherheit – Stand der Dinge

in Bugs, Dev, Security, TYPO3

Kurze Zwischen-Info: Im buzz-Blog wurden heute bekannte Probleme veröffentlicht, welche nach dem Sicherheitsupdate aufgetreten sind. Im Grunde alles recht spezielle Anomalien!

Zudem hat Markus in seinem Blog über die angebliche Sicherheitslücke in TYPO3 4.0 aufgeklärt. Das Exploit was seit einigen Tagen/Wochen die Runde macht, nutzt einen ungeprüften Parameter der aber in Extensions benutzt wird und nicht im TYPO3 Core. Auch wenn die pi_base die showUid-Variable benutzt, so muss diese dennoch im Plugin überprüft werden. Quelle hier.

3 Reaktionen zu “TYPO3 Sicherheit – Stand der Dinge”

Kommentare abonnieren (RSS) oder TrackBack URL

Verstehe ich nicht – natürlich müssen die piVars gesäubert werden – was ist daran neu!? Stehe irgendwie auf dem Schlauch…

Alex Kellner am 28. Oktober 2009 um 08:55

Auf zahlreichen Exploit Seiten wurde ein Exploit für TYPO3 4.0 veröffentlicht, was eine SQL Injection in der showUid-var nutzt. Dies ist natürlich nicht der Fall, weil der Fehler nicht im Core liegt, sondern in irgendeiner Extension die zufällig auf dem System installiert war. Dennoch hat das Exploit eine große Runde gemacht….

Tim Lochmüller am 28. Oktober 2009 um 09:41
Trackbacks & Pingbacks

[…] Dieser Eintrag wurde auf Twitter von dreadwarrior, Josef Willkommer erwähnt. Josef Willkommer sagte: typo3news.net TYPO3 Sicherheit – Stand der Dinge – Kurze Zwischen-Info: Im buzz-Blog wurden heute bekannte Probleme… http://ow.ly/15XHrU […]

Pingback von Tweets die TYPO3 Sicherheit – Stand der Dinge | TYPO3 Blogger erwähnt -- Topsy.com am 28. Oktober 2009 um 15:05

Kategorien

Archiv