Du hast deinen AdBlocker an?

Es wäre ein Traum, wenn du ihn für t3n.de deaktivierst. Wir zeigen dir gerne, wie das geht. Und natürlich erklären wir dir auch, warum uns das so wichtig ist. Digitales High-five, deine t3n-Redaktion

Software & Infrastruktur

TYPO3-Sicherheitsteam veröffentlicht vier neue Security-Bulletins

Das TYPO3 Sicherheitsteam hat eine neue Sammlung behobener Sicherheitslücken, einen sogenannten Collective Security Bulletin (CSB), über die Announce-Mailingliste veröffentlicht. In drei zusätzlichen Bulletins wird auf die Behebung von Sicherheitslücken in den Extensions phpmyadmin, sr_sendcard und wec_discussion hingewiesen.

Die Extension phpmydamin ist durch Cross Site Scripting angreifbar. Betroffen sind die alle Versionen einschließlich 3.0.1. Die neue Version 3.2.0 steht im Extension Repository zum Download bereit.

Durch eine unzureichende Prüfung von Benutzereingaben in der Erweiterung sr_sendcard ist beliebiges Ausführen von JavaScript-Code sowie das Einbetten beliebiger Bilder möglich. Betroffen von dieser Sicherheitslücke sind alle Versionen einschließlich Version 2.2.2. Die neue Version 2.2.4 behebt diese Sicherheitslücke und steht im Extension Repository zum Download bereit.

Auch die Extension wec_discussion ist durch beliebiges Ausführen von Code (Arbitrary Code Execution) und Cross Site Scripting angreifbar. Betroffen sind hier alle Versionen einschließlich 1.6.2. Die neue Version 1.6.3 kann aus dem Extension Repository heruntergeladen werden.

Zusätzlich zu den einzelnen Sicherheitsmeldungen wurde auch die zweite Ausgabe einer Sammlung behobener Sicherheitslücken veröffentlicht. Collective Security Bulletins, kurz CSB, beinhalten Extensions, die entweder eine geringe Downloadzahl zu verzeichnen haben oder für die TYPO3-Community nicht von großer Relevanz sind. Die Veröffentlichung der behobenen Sicherheitslücken in einer Sammlung soll den Arbeitsaufwand für das Sicherheitsteam und die Extensionautoren begrenzen.

Die aktuelle Sammlung umfasst zwölf Extensions:

Die nicht verlinkten Extensions werden von den jeweilgen Autoren nicht mehr gepflegt und wurden daher aus dem Extension Repository gelöscht. Das Sicherheitsteam rät zur Deinstallation dieser Extensions und zum Löschen der dazugehörigen Ordner.

Behobene Sicherheitslücken in Extensions, die den Kern von TYPO3 betreffen oder auf andere Weise wichtig sind, sollen nach Aussage des Sicherheitsteams auch weiterhin in einzelnen Sicherheitsmeldungen veröffentlicht werden.

Die oben genannten Erweiterungen gehören nicht zur TYPO3-Standardinstallation. TYPO3-Systeme, die diese Extensions nicht einsetzen, sind von den Sicherheitslücken daher nicht betroffen.

Bitte beachte unsere Community-Richtlinien

Eine Reaktion
wolf

hi all,
derzeit steht im TER für wec_discussion die version 1.8.0

gibts da schon erfahrungen ?

Du musst angemeldet sein, um einen Kommentar schreiben zu können.

Jetzt anmelden

Finde einen Job, den du liebst