Sicherheits-Update für Typo3 veröffentlicht
Vorgängerversionen sind unter Umständen anfällig für Cross Site Scripting, geben Nutzerinformationen preis und erlauben Anmeldung ohne Passwort.
Die Typo3 [1] -Entwickler haben mehrere Sicherheitslücken in ihrem Content-Management-System geschlossen. Aktuell sind nun die Versionen 4.2.12 und 4.3.2. Laut ihrem Security Bulletin [2] gibt unter Umständen das Backend der Vorgängerversionen Angreifern mit gültigem Account die nichtöffentlichen Daten anderer Nutzer preis. Außerdem sind sowohl Front- als auch Backend für diverse Cross-Site-Scripting-Attacken anfällig.
Das Frontend der Versionen 4.3.0 und 4.3.1 lässt sogar unter gewissen Umständen Angreifer ohne Passwort herein, wenn die Erweiterung "saltedpasswords" geladen wurde – ausgerechnet sicherheitsbewusste Admins sind hier die Gekniffenen. Typo3-Betreuer sollten das Update daher bei nächster Gelegenheit einspielen. (cr [3])
URL dieses Artikels:
https://www.heise.de/-940349
Links in diesem Artikel:
[1] http://typo3.org/
[2] http://typo3.org/teams/security/security-bulletins/typo3-sa-2010-004/
[3] mailto:cr@ct.de
Copyright © 2010 Heise Medien