Deutsch | English

Sicherheitslücken in TYPO3

6. März 2013

Angesichts der Schwere der Lücken und der hohen Anzahl an installierten TYPO3 Content Management Systemen bittet CERT.at um Beachtung der folgenden Hinweise.

Beschreibung

TYPO3 Core enthält Bugs die zu SQL Injection und Open Redirection führen können.

SQL Injection in der Subkomponente Extbase Framework

Wegen unzureichender Behandlung von Benutzereingaben ist der Extbase Database Abstraction Layer anfällig für SQL Injection. TYPO3-Seiten, auf denen keine Extbase Extensions installiert sind, sind nicht betroffen. Wie dem TYPO3 Security Team berichtet wurde, wird die Schwachstelle bereits aktiv ausgenützt.

Open Redirection in der Subkomponente Access Tracking Mechanism

Aufgrund ungenügender Überprüfung von Benutzereingaben ermöglicht der Access Tracking Mechanism (Jumpurl Feature) Redirects zu beliebigen URLs.

Betroffene Systeme

Alle TYPO3-Installationen mit entsprechender Konfiguration bis einschließlich der Versionen
  • 4.5.23
  • 4.6.16
  • 4.7.8
  • 6.0.2

Abhilfe

Upgrade auf die entsprechend angepassten Versionen
  • 4.5.24
  • 4.6.17
  • 4.7.9
  • 6.0.3

Allgemeiner Hinweis zur Hebung der Systemsicherheit

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.
Informationsquelle(n):

Meldung von TYPO3 (Englisch)
https://typo3.org/teams/security/security-bulletins/typo3-core/typo3-core-sa-2013-001/
Email: reports@cert.at
Tel.: +43 1 5056416 78
mehr ...
Kritische Sicherheitslücken in Adobe Acrobat und Reader - Patches verfügbar
2. Oktober 2018 | Beschreibung Adobe ...
Kritische Sicherheitslücken in Adobe Acrobat und Reader - Patches verfügbar
19. September 2018 | Beschreibung Adobe ...
mehr ...
Der nächste Meilenstein: [CERT.at #1000000]
26. September 2018 | ...
DoS-Schwachstelle im Kernel - keine Panik!
7. August 2018 | In der ...
mehr ...
Jahresbericht 2016
Ein Resumee zur digitalen Sicherheitslage in Österreich

(HTML, PDF).
Letzte Änderung: 2013/7/17 - 17:00:09
Haftungsausschluss / Datenschutzerklärung