Aktuelles
Sicherheitslücken in Typo3
29.07.2010
Das populäre Content-Management-System Typo3 enthält Bugs, die zu SQL Injection (ausnutzbar durch Benutzer, die das Recht haben, Records zu editieren, welche eine bestimmte where-Klausel enthalten bzw. das Auto-Suggest-Feature benutzen) und Arbitrary Code Execution führen können. Gültigen Backend-Benutzern ist es ebenfalls möglich durch unzureichende Prüfung von Benutzereingaben Cross-Site-Scripting (XXS) - Bugs an mehreren Stellen auszunützen. Ebenso können Probleme mit Information Disclosure, unsicheren Zufallszahlen und Authentication/Session Management auftauchen.
Betroffen sind die alle Versionen mit entsprechender Konfiguration bis einschließlich die Versionen 4.1.13, 4.2.12, 4.3.3 und 4.4. Die Updates auf 4.1.14, 4.2.13, 4.3.4 und 4.4.1 schließen die Lücke.
Mehr Infos unter: http://typo3.org/teams/security/security-bulletins/typo3-sa-2010-012/