Zwei Sicherheitslücken im TYPO3-Kern ermöglichen das beliebige Ausführen von Code auf Apache Webservern sowie Cross Site Scripting. Autorisierten Backendbenutzern mit Zugang zu einem beliebigen Filemount ist es bei erstgenannter Sicherheitslücke möglich, Apache-Konfigurationsdateien hochzuladen. Dies könnte zum Erstellen und Ausführen beliebigen Codes missbraucht werden. Die Schwere dieser Sicherheitslücke wurde vom TYPO3-Sicherheitsteam als "hoch" eingestuft.

Die zweite Sicherheitslücke ermöglicht Cross Site Scripting, da Benutzereingaben in der Datei "fe_adminlib.inc" nicht richtig gefiltert werden. TYPO3-basierte Websites sind von dieser Sicherheitslücke nur dann betroffen, wenn Frontend-Extensions zum Einsatz kommen, die auf der Datei "fe_adminlib.inc" basieren. Die Schwere der Sicherheitslücke wird als "niedrig" eingestuft.

Betroffen von den oben genannten Sicherheitslücken sind folgende TYPO3-Versionen: 3.x, 4.0 bis einschließlich 4.0.7, 4.1 bis einschließlich 4.1.6 sowie Version 4.2.0.

Ausführliche Informationen bietet die Security-Bulletin-Meldung. Die Übersicht zeigt die bisher veröffentlichten Sicherheitsmeldungen.

Die neuen TYPO3-Versionen 4.2.1, 4.1.7 und 4.0.9 stehen auf typo3.org zum Download bereit. Das Backend der neuen TYPO3-Versionen lässt sich jetzt auch problemlos mit dem aktuellen Release von Firefox 3 nutzen.