21.01.2009 12:17
Die Entwickler des Content-Management-Systems Typo3 weisen auf mehrere Schwachstellen in den Versionen 4.0.0 bis 4.0.9, 4.1.0 bis 4.1.7 und 4.2.0 bis 4.2.3 hin. Dazu gehört neben Cross-Site-Scripting-Fehlern und schwacher Verschlüsselung auch die Möglichkeit für einen Angreifer, eigene Befehle an die Shell des Systems zu übergeben und zu starten. Ursache des Problems ist die fehlerhafte Verarbeitung übergebener Parameter in der "Indexed Search Engine"-Erweiterung.
In den Versionen 4.0.10, 4.1.8 und 4.2.4 sind die Fehler behoben. Die Entwickler haben die in ihrem Security Bulletin aufgeführten Lücken insgesamt mit "kritisch" bewertet. Anwender sollten die Updates so schnell wie möglich installieren. Allerdings gibt es mit den letzten Releases der Versionen 4.1.8 und 4.0.10 ein Problem mit PHP 4. Sie enthalten aus Versehen Public-static-Deklarationen der Funktion generateRandomBytes in t3lib/class.t3lib_div.php, die PHP 4 nicht unterstützt. Überarbeitete Versionen sollen aber demnächst erscheinen.
Siehe dazu auch:
(Daniel Bachfeld)
/
(dab)
English version: Security update for critical holes in Typo3
Themen-Forum Schwachstellen
Version zum Drucken | Per E-Mail versenden | Newsletter abonnieren
Permalink: http://heise.de/-200423
