Sicherheits-Update für Typo3
Version 4.2.3 schließt zwei Cross-Site-Scripting-Schwachstellen in einer Systemerweiterung und in einem Backend-Modul.
- Daniel Bachfeld
Version 4.2.3 des Content Management System Typo3 beseitigt zwei Cross-Site-Scripting-Schwachstellen, durch die Angreifer Anwendern JavaScripts unterschieben und im Kontext der Typo3-Site ausführen können. Üblicherweise lassen sich auf diese Weise Zugangsdaten stehlen. Die Fehler finden sich in der Systemerweiterung felogin und dem Backend-Module file.
Beim felogin-Fehler genügt es bereits, dass ein Opfer einem präparierten Link folgt. Der Fehler in file lässt sich nach Angaben der Entwickler nur ausnutzen, wenn das Opfer ein Backend-Anwender ist oder detaillierte Informationen über die Verzeichnisstruktur des Servers vorhanden sind.
Betroffen sind die Versionen 4.2.x. Anwender der felogin-Erweiterung sollten ihr System alsbald aktualisieren. Darüber hinaus erschien eingangs der Woche ein Sammelbericht über Sicherheitslücken in verschiedenen Typo3-Erweiterungen anderer Hersteller.
Siehe dazu auch
- Cross-Site Scripting vulnerability in TYPO3 Core (1), Fehlerbericht auf typo3.org
- Cross-Site Scripting vulnerability in TYPO3 Core (2), Fehlerbericht auf typo3.org
- Several vulnerabilities in third party extensions, Fehlerbericht auf typo3.org
(dab)