Das TYPO3 Sicherheitsteam hat eine neue Sammlung behobener Sicherheitslücken, einen sogenannten Collective Security Bulletin (CSB), über die Announce-Mailingliste veröffentlicht. In drei zusätzlichen Bulletins wird auf die Behebung von Sicherheitslücken in den Extensions phpmyadmin, sr_sendcard und wec_discussion hingewiesen.

Die Extension phpmydamin ist durch Cross Site Scripting angreifbar. Betroffen sind die alle Versionen einschließlich 3.0.1. Die neue Version 3.2.0 steht im Extension Repository zum Download bereit.

Durch eine unzureichende Prüfung von Benutzereingaben in der Erweiterung sr_sendcard ist beliebiges Ausführen von JavaScript-Code sowie das Einbetten beliebiger Bilder möglich. Betroffen von dieser Sicherheitslücke sind alle Versionen einschließlich Version 2.2.2. Die neue Version 2.2.4 behebt diese Sicherheitslücke und steht im Extension Repository zum Download bereit.

Auch die Extension wec_discussion ist durch beliebiges Ausführen von Code (Arbitrary Code Execution) und Cross Site Scripting angreifbar. Betroffen sind hier alle Versionen einschließlich 1.6.2. Die neue Version 1.6.3 kann aus dem Extension Repository heruntergeladen werden.

Zusätzlich zu den einzelnen Sicherheitsmeldungen wurde auch die zweite Ausgabe einer Sammlung behobener Sicherheitslücken veröffentlicht. Collective Security Bulletins, kurz CSB, beinhalten Extensions, die entweder eine geringe Downloadzahl zu verzeichnen haben oder für die TYPO3-Community nicht von großer Relevanz sind. Die Veröffentlichung der behobenen Sicherheitslücken in einer Sammlung soll den Arbeitsaufwand für das Sicherheitsteam und die Extensionautoren begrenzen.

Die aktuelle Sammlung umfasst zwölf Extensions:

• Codeon Petition (cd_petition)
• DAM Frontend (dam_frontend)
• Support view (ext_tbl)
• Packman (kb_packman)
• KB Unpack (kb_unpack)
• Branchenbuch (Yellow Pages) (mh_branchenbuch)
• SQL Frontend (mh_omsqlio)
• News Calendar (newscalendar)
• PDF Generator 2 (pdf_generator2)
• Pinboard (pinboard)
• Industry Database (Branchendatenbank) (pro_industrydb)
• Address Directory (sp_directory)

Die nicht verlinkten Extensions werden von den jeweilgen Autoren nicht mehr gepflegt und wurden daher aus dem Extension Repository gelöscht. Das Sicherheitsteam rät zur Deinstallation dieser Extensions und zum Löschen der dazugehörigen Ordner.

Behobene Sicherheitslücken in Extensions, die den Kern von TYPO3 betreffen oder auf andere Weise wichtig sind, sollen nach Aussage des Sicherheitsteams auch weiterhin in einzelnen Sicherheitsmeldungen veröffentlicht werden.

Die oben genannten Erweiterungen gehören nicht zur TYPO3-Standardinstallation. TYPO3-Systeme, die diese Extensions nicht einsetzen, sind von den Sicherheitslücken daher nicht betroffen.

• Weiterführende Links:
• TYPO3 Security Bulletin wec_discussion
• TYPO3 Security Bulletin sr_sendcard
• TYPO3 Security Bulletin phpmyadmin
• TYPO3 Collective Security Bulletin Nr. 2
• Alle Security-Bulletins im Überblick
• TYPO3 Announce Mailingliste