In der vergangenen Woche hat das TYPO3-Security-Team erneut einige Sicherheitslücken in externen Erweiterungen geschlossen. Die letzte Meldung vom vergangenen Freitag betrifft gleich mehrere Extensions, die das Tool "PHPMailer" nutzen.

Durch die gefundene Lücke in PHPMailer können Angreifer beliebige Kommandozeilenbefehle ausführen. Betroffen sind alle Extensions die PHPMailer integrieren. Im Einzelnen sind dies:

• pil_mailform (Version 3.0.3 und niedriger)
• mk_mailorderplan (Version 0.3.2)
• job_bank_resume_mgr (Version 0.1.0)
• classifiedads (Version 0.1.0 und niedriger)
• agprjmgm (Version 0.0.1)
• bb_phpmailer (Version 1.73.1 und niedriger)
• ext_tbl (Version 0.0.102 und niedriger)
• iwi_phpmail (Version 1.0.0 und niedriger)

Das Security-Team hat alle Autoren der gennanten Extensiosn angeschrieben. Für die ersten vier Extensions liegen bereits neue Versionen im TYPO3 Extension Repository (TER) bereit, die die Lücke schließen. Die Autoren der restlichen Extensions haben bisher nicht auf die Anfrage des Security-Teams reagiert. Im TYPO3-Security-Bulletin befindet sich allerdings eine Anleitung, mit der die Lücke direkt im Quellcode von PHPMailer selbst geschlossen werden kann.

Bereits am Anfang letzter Woche wurden zwei Sicherheitslücken geschlossen, deren Gefahrenrisiko das Security-Team als "Medium" bzw. "Low" einstuft. Für die Extensions "faq" und "phpmyadmin" liegen im TER neue Versionen bereit, die die Lücken schließen.

Das Security-Team rät allen TYPO3-Administratoren, das TYPO3-Security-Cookbook zu lesen sowie die Website der TYPO3-Security-Bulletins regelmäßig zu besuchen oder die Mailingliste "TYPO3 Announce List" zu abonnieren.

• Weiterführende Links:
• Infos zur Lücke in PHPMailer
• Infos zur Lücke in phpmyadmin
• Infos zur Lücke in faq
• TYPO3-Security-Cookbook
• Alle Security-Bulletins im Überblick
• TYPO3 Announce Mailingliste