TYPO3: Updates beheben Schwachstellen in CMS und Extensions
(Bild: TYPO3)
Security-Releases für das Content-Management-System TYPO3 schieben unter anderem diversen Cross-Site-Scripting-Szenarien einen Riegel vor.
Die Entwickler des Content-Management-Systems TYPO3 haben mit den Sicherheitsupdates 8.7.24 LTS für die 8er- und 9.5.4 LTS für die 9er-Versionsreihe insgesamt sieben Schwachstellen behoben. Da ihr Schweregrad – teils in Abhängigkeit von der Konfiguration des Webservers – sämtliche Einstufungen von "Low" bis "Critical" abdeckt, sollten Anwender zügig auf die aktuellen Versionen umsteigen.
Das DFN-CERT nennt als mögliche Gefahren [1] neben Cross-Site-Scripting das Ausführen beliebigen Programmcodes sowie das Umgehen von Sicherheitsvorkehrungen. Je nach Lücke sind die Angriffe auch ohne Authentifizierung möglich. Wer sich für weitere Details interessiert, findet sie in TYPO3's Security-Bulletins [2].
Die abgesicherten TYPO3 LTS-Versionen 8.7.24 und 9.5.4 stehen zum Download bereit. [3]
Zusätzliche Sicherheitshinweise
Die separat veröffentlichten Security Advisories TYPO3-PSA-2019-001 [4] und TYPO3-PSA-2019-002 [5] sind in erster Linie für Entwickler relevant. Sie fassen Risiken zusammen, die unter bestimmten Umständen von der CommandUtility-API und von Drittanbieter-Extensions ausgehen können.
Nutzer von TYPO3-ELTS-Versionen vor 6.2.39 sollten laut TYPO3-PSA-2019-003 [6] auf 6.2.39 umsteigen: Die Flash-Komponente websvg bietet Angriffspunkte fürs Cross-Site-Scripting, deren Gefährlichkeit als "Medium" eingestuft wird.
Schwachstellen in mehreren Extensions
Neben dem bereits genannten websvg sind auch die folgenden Extensions sicherheitsanfällig:
- phpMyAdmin (TYPO3-EXT-SA-2019-001) [7]
- typo3_forum (TYPO3-EXT-SA-2019-002) [8]
- femanager (TYPO3-EXT-SA-2019-003) [9]
- mkmailer (TYPO3-EXT-SA-2019-004) [10]
Aktualisierte Versionen der Extensions schließen die mit "Medium" bis "High" bewerteten Schwachstellen; Informationen sind den jeweils verlinkten Sicherheitshinweisen zu entnehmen. (ovw [11])
URL dieses Artikels:
https://www.heise.de/-4286969
Links in diesem Artikel:
[1] https://adv-archiv.dfn-cert.de/adv/2019-0155/
[2] https://get.typo3.org/release-notes/8.7.23
[3] https://get.typo3.org/
[4] https://typo3.org/security/advisory/typo3-psa-2019-001/
[5] https://typo3.org/security/advisory/typo3-psa-2019-002/
[6] https://typo3.org/security/advisory/typo3-psa-2019-003/
[7] https://typo3.org/security/advisory/typo3-ext-sa-2019-001/
[8] https://typo3.org/security/advisory/typo3-ext-sa-2019-002/
[9] https://typo3.org/security/advisory/typo3-ext-sa-2019-003/
[10] https://typo3.org/security/advisory/typo3-ext-sa-2019-004/
[11] mailto:olivia.von.westernhagen@gmail.com
Copyright © 2019 Heise Medien