Typo3-Update schließt zahlreiche kritische Lücken

Unter den Problemen finden sich Cross-Site-Scripting-Schwachstellen, SQL-Injection-Lücken und eine Möglichkeit, Befehle an die Shell des Systems zu übergeben und zu starten.

In Pocket speichern vorlesen Druckansicht 128 Kommentare lesen
Lesezeit: 1 Min.
Von
  • Daniel Bachfeld

Die Typo3 -Entwickler haben die Versionen 4.1.13, 4.2.10 und 4.3beta2 zum Download bereit gestellt, in denen insgesamt neun Sicherheitslücken und Schwachstellen beseitigt sind. Unter den Problemen finden sich Cross-Site-Scripting-Schwachstellen, SQL-Injection-Lücken und Möglichkeiten, Schutzfunktionen auszuhebeln und Daten auszuspähen.

Die (technisch) kritischste Lücke findet sich in der Verarbeitung hochgeladener Dateien, durch die ein Redakteur mittels präparierter Dateinamen laut Bericht eigene Befehle an die Shell des Systems übergeben und starten kann. Dazu muss der Redakteur allerdings am System angemeldet sein – auch bei den SQL-Injection-Lücken muss man am System angemeldet sein. Zudem funktioniert der Angriff auf die Shell nur, wenn die Dateien über Erweiterungsmodule anderer Hersteller oder per FTP hochgeladen werden. Auf dem Standardweg über das integrierte Modul wird der Dateiname indes korrekt normalisiert.

Betroffen ist zwar auch die Version 4.0.13, dieser Zweig wird jedoch nicht mehr unterstützt. Der Support für Version 4.1 endet nach Erscheinen der stabilen Version 4.3, also voraussichtlich Ende November dieses Jahres.

Siehe dazu auch:

(dab)