Schlagwort-Archive: Security

TYPO3: Sicherheitslücken geschlossen

Die Versionen 4.4.4, 4.3.7 und 4.2.15 des beliebten Content Management Systems TYPO3 stehen ab sofort zum Download zur Verfügung. In den neuen Versionen wird eine kritische Sicherheitslücke geschlossen, die gestern bekannt gegeben wurde. Dabei handelte es sich laut Security-Team um eine Möglichkeit, jede Datei auf dem Webserver zu lesen, auf die Webserver-User Zugriff hat. Die Sicherheitslücke wurde im jumpURL-Mechanismus aufgespürt, der zu Statistikzwecken verwendet wird. Daneben gab es noch einige andere Verwundbarkeiten, die aber nicht als kritisch eingestuft wurden. Genaueres kann man im Security Bulletin nachlesen.

Sicherheitslücken in TYPO3 Core

Gerade eben wurde per Mailing List eine kritische Sicherheitslücke im TYPO3 Core angekündigt. Genauere Informationen gab es bislang noch nicht, es wurde lediglich angekündigt, das am Mittwoch, den 06.10.2010 ab 11:00 Uhr, neue Versionen aller noch offiziell unterstützten Entwicklungszweige veröffentlicht werden sollen. Diese werden an gewohnter Stelle zum Download bereitstehen. Da auch Versionen betroffen sind, die nicht mehr offiziell unterstützt werden, wird das Security-Team Anleitungen bereitstellen, wie die Sicherheitslücke auch in diesen veralteten Systemen zu schließen ist. Allerdings wird jedem dringend angeraten, auf eine neuere Version aufzurüsten.

Zahlreiche Sicherheitslücken im TYPO3 Core

Mit dem heutigen Security-Bulletin TYPO3-SA-2010-012 hat das TYPO3 Security-Team zahlreiche Sicherheitslücken im TYPO3-Core bekannt gegeben. Betroffen sind alle aktuelle Versionen in allen Entwicklungszweigen, also die Versionen 4.1.13 und kleiner, 4.2.12 und kleiner, 4.3.3 und kleiner, sowie 4.4.0.

Die Lücken beziehen sich auf Cross-Site Scripting (XSS), Open Redirection, SQL Injection, Broken Authentication and Session Management, Insecure Randomness, Information Disclosure und Arbitrary Code Execution.

Nahezu zeitgleich wurden dann auch gleich neue Versionen in jedem Entwicklungszweig veröffentlicht, in denen diese kritischen Sicherheitslücken geschlossen wurden. Jedem TYPO3-Administrator ist also anzuraten, seine Systeme umgehend einem Update zu unterziehen.