Sicherheitslücken im TYPO3 CMS Core – Mehrere Versionen betroffen

TYPO3-Banner

TYPO3-Banner – The GO Anywhere, DO Anything CMS

Mehrere Versionen betroffen

Laut Security-Bulletin “TYPO3-CORE-SA-2013-001: SQL Injection and Open Redirection in TYPO3 Core” sind die Versionen von 4.5.0 – 4.5.23, 4.6.0 bis 4.6.16, 4.7.0 – 4.7.8 und die Version 6.0 – 6.0.2 betroffen.

Im Kern von TYPO3 wurden Sicherheitslücken entdeckt, die es Angreifern ermöglichen würden SQL-Injections und Weiterleitungen durchzuführen. Das Risiko wurde vom TYPO3-Security Team als hoch eingestuft. Zu einem Update wird unbedingt und dringend angeraten.

Auch Subkomponenten haben Sicherheitslücken

Auch das Extbase Framework mit dem einige Funktionen von FLOW3 auf TYPO3 CMS 4 rückportiert wurden hat Sicherheitslücken. Diese werden als kritisch angesehen, da es Angreifern möglich ist Daten abzufangen und SQL-Injections durchzuführen. Hier reicht ebenso ein Update auf die aktuellen TYPO3-Versionen um das Problem zu beheben.

Neben diesen Dingen wurde auch am Verhalten und Umgang mit Links gearbeitet. Die Funktion JumpUrl wurde überarbeitet, weil auch hier unberechtigte Weiterleitungen möglich waren. Das Verhalten für ausgehende Links wurde um Hash-Einträge ergänzt. Das Security-Bulletin rät dazu auf die aktuelle Version zu aktualisieren um das Problem mit JumpUrl zu beheben. Außerdem wird angeraten den Cache von Seiten zu leeren um zu verhindern, dass alte Links weiterhin falsch erhalten bleiben. Bei Problemen mit DirectMail wird zudem angeraten die empfohlene Extension jumpurl_redirect zu installieren. Details gibt es im Bulletin.

Nachtrag 1

Es gibt (unbestätigte) Gerüchte wonach die gestopfte Sicherheitslücke bereits von kriminellen ausgenutzt wurde.

Nachtrag 2

Heute wurden die Versionen 4.5.25, 4.6.18, 4.7.10 und 6.0.4 veröffentlicht. Hintergrund ist, dass das gestrige Update dazu führen konnte, dass Externe Links nicht mehr funktionieren. Der Fehler ist in diesen Versionen behoben.


Dem Autor auf Twitter folgen?

Kommentar verfassen