TYPO3 schließt zahlreiche Sicherheitslöcher

Publiziert am 28.5.2014 von Marc Stenzel
Update NOW!
TYPO3 CMS schließt mit den Wartungs- und Sicherheits-Releases 4.5.34, 4.7.19, 6.0.14, 6.1.9 und 6.2.3 zahlreiche Sicherheitslöcher. Mit einem routinemäßigen Einspielen der Updates ist es jedoch diesmal nicht getan, die Aktualisierung benötigt besondere Aufmerksamkeit!

Host-Spoofing

In den Versionen 4.5.0 bis 4.5.33, 4.7.0 bis 4.7.18, 6.0.0 bis 6.0.13, 6.1.0 bis 6.1.8 und 6.2.0 bis 6.2.2 wurde eine Host-Spoofing-Schwachstelle entdeckt, zu deren Behebung – je nach Server – eventuell Handarbeit nötig ist. TYPO3 warnt davor, dass ein einfaches Einspielen der Updates unter Umständen nicht ausreichend ist.

Der von TYPO3 vorgeschlagene CVSS v2.0: AV:N/AC:M/Au:N/C:N/I:P/A:N/E:F/RL:O/RC:C (was einen Base Score von 4.3 [medium] ergibt).

Weitere Schwachstellen

Im Color Picker Wizard wurde eine unsichere Deserialisierung gefunden, im Backend und in ExtJS Cross-Site Scripting-Schwachstellen, in Authentication eine unzureichende Zerstörung der Session sowie eine Möglichkeit zur Umgehung der Authentifizierung, und ein Fehler in Extbase Framework kann zur unerwünschten Freigabe von Informationen führen.

Weiterführende Links

Share on Facebook Share on Twitter Post to Delicious! Post to Diaspora!

Über Marc Stenzel

Marc Stenzel ist Inhaber der New Media Agentur media deluxe sowie freiberuflich als Marketing- und Projektmanager Online, Dozent und Fachjournalist (DFJV) tätig. Marc Stenzel bloggt hier über aktuelle Themen aus dem fachlichen und räumlichen Umfeld des Unternehmens - mal sachlich, mal humorvoll:
Dieser Beitrag wurde unter CMS News abgelegt und mit , , , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Kommentare sind geschlossen.