Lücken in mehreren Typo3-Erweiterungen

03.12.2009 11:16 Uhr Daniel Bachfeld

Ein Angreifer könnte die Datenbank manipulieren, an vertrauliche Daten gelangen oder sogar administrativen Zugang zum System erlangen. Für einige Extensions gibt es Updates.

Die Typo3 [1] -Entwickler haben drei Schwachstellen-Berichte veröffentlicht, die bei insgesamt neun Erweiterungen Probleme wie Cross-Site-Scripting, SQL-Injection und Command-Injection beschreiben. Ein Angreifer könnte dadurch die Datenbank manipulieren, an vertrauliche Daten gelangen oder sogar administrativen Zugang zum System erlangen.

Die Erweiterungen sind nicht Bestandteil einer Typo3-Standardinstallation. Zu den betroffenen Extensions gehören laut Bericht:

[AN] Search it! (an_searchit) 2.4.1 (und vorherige)
Simple download-system with counter and categories (kk_downloader) 1.2.1 (und vorherige)
Automatic Base Tags for RealUrl (lt_basetag) 1.0.0
Trips (mchtrips) 2.0.0
simple Glossar (simple_glossar) 1.0.3 and prior
TW Productfinder (tw_productfinder) 0.0.2 and prior
DB Integration (wfqbe) 1.3.1 and prior
Direct Mail (direct_mail) 2.6.4 and prior
Calendar Base (cal) 1.2.0 and prior

Die Entwickler stufen die meisten der Probleme als risikoreich ein. Bislang gibt es aber nur Updates für DB Integration, Trips, kk_downloader, Direct Mail und Calendar Base, die sich über den "TYPO3 Extension Manager" aktualisieren lassen. Für die anderen gibt es aus diversen Gründen keine Updates. Anwender sollten die Erweiterungen entfernen. Aus dem TYPO3 Extension Repository sind sie bereits entfernt worden.

Siehe dazu auch:

(dab [5])

URL dieses Artikels:
https://www.heise.de/-875572

Links in diesem Artikel:
[1] http://typo3.org/
[2] http://typo3.org/teams/security/security-bulletins/typo3-sa-2009-017/
[3] http://typo3.org/teams/security/security-bulletins/typo3-sa-2009-018/
[4] http://typo3.org/teams/security/security-bulletins/typo3-sa-2009-019/
[5] mailto:dab@ct.de