Lücken in mehreren Typo3-Erweiterungen
Ein Angreifer könnte die Datenbank manipulieren, an vertrauliche Daten gelangen oder sogar administrativen Zugang zum System erlangen. Für einige Extensions gibt es Updates.
- Daniel Bachfeld
Die Typo3 -Entwickler haben drei Schwachstellen-Berichte veröffentlicht, die bei insgesamt neun Erweiterungen Probleme wie Cross-Site-Scripting, SQL-Injection und Command-Injection beschreiben. Ein Angreifer könnte dadurch die Datenbank manipulieren, an vertrauliche Daten gelangen oder sogar administrativen Zugang zum System erlangen.
Die Erweiterungen sind nicht Bestandteil einer Typo3-Standardinstallation. Zu den betroffenen Extensions gehören laut Bericht:
- [AN] Search it! (an_searchit) 2.4.1 (und vorherige)
- Simple download-system with counter and categories (kk_downloader) 1.2.1 (und vorherige)
- Automatic Base Tags for RealUrl (lt_basetag) 1.0.0
- Trips (mchtrips) 2.0.0
- simple Glossar (simple_glossar) 1.0.3 and prior
- TW Productfinder (tw_productfinder) 0.0.2 and prior
- DB Integration (wfqbe) 1.3.1 and prior
- Direct Mail (direct_mail) 2.6.4 and prior
- Calendar Base (cal) 1.2.0 and prior
Die Entwickler stufen die meisten der Probleme als risikoreich ein. Bislang gibt es aber nur Updates für DB Integration, Trips, kk_downloader, Direct Mail und Calendar Base, die sich über den "TYPO3 Extension Manager" aktualisieren lassen. Für die anderen gibt es aus diversen Gründen keine Updates. Anwender sollten die Erweiterungen entfernen. Aus dem TYPO3 Extension Repository sind sie bereits entfernt worden.
Siehe dazu auch:
- TYPO3 Collective Security Bulletin TYPO3-SA-2009-017: Several vulnerabilities in third party extensions
- TYPO3 Security Bulletin TYPO3-SA-2009-018: XSS vulnerability in extension "Direct Mail" (direct_mail)
- TYPO3 Security Bulletin TYPO3-SA-2009-019: Blind SQL Injection vulnerability in extension "Calendar Base" (cal)
(dab)