TYPO3: Updates beheben Schwachstellen in CMS und Extensions

Die Entwickler des Content-Management-Systems TYPO3 haben mit den Sicherheitsupdates 8.7.24 LTS für die 8er- und 9.5.4 LTS für die 9er-Versionsreihe insgesamt sieben Schwachstellen behoben. Da ihr Schweregrad – teils in Abhängigkeit von der Konfiguration des Webservers – sämtliche Einstufungen von "Low" bis "Critical" abdeckt, sollten Anwender zügig auf die aktuellen Versionen umsteigen.

Das DFN-CERT nennt als mögliche Gefahren neben Cross-Site-Scripting das Ausführen beliebigen Programmcodes sowie das Umgehen von Sicherheitsvorkehrungen. Je nach Lücke sind die Angriffe auch ohne Authentifizierung möglich. Wer sich für weitere Details interessiert, findet sie in TYPO3's Security-Bulletins.

Die abgesicherten TYPO3 LTS-Versionen 8.7.24 und 9.5.4 stehen zum Download bereit.

Zusätzliche Sicherheitshinweise

Die separat veröffentlichten Security Advisories TYPO3-PSA-2019-001 und TYPO3-PSA-2019-002 sind in erster Linie für Entwickler relevant. Sie fassen Risiken zusammen, die unter bestimmten Umständen von der CommandUtility-API und von Drittanbieter-Extensions ausgehen können.

Nutzer von TYPO3-ELTS-Versionen vor 6.2.39 sollten laut TYPO3-PSA-2019-003 auf 6.2.39 umsteigen: Die Flash-Komponente websvg bietet Angriffspunkte fürs Cross-Site-Scripting, deren Gefährlichkeit als "Medium" eingestuft wird.

Schwachstellen in mehreren Extensions

Neben dem bereits genannten websvg sind auch die folgenden Extensions sicherheitsanfällig:

• phpMyAdmin (TYPO3-EXT-SA-2019-001)
• typo3_forum (TYPO3-EXT-SA-2019-002)
• femanager (TYPO3-EXT-SA-2019-003)
  
• mkmailer (TYPO3-EXT-SA-2019-004)

Aktualisierte Versionen der Extensions schließen die mit "Medium" bis "High" bewerteten Schwachstellen; Informationen sind den jeweils verlinkten Sicherheitshinweisen zu entnehmen. (ovw)