News-Meldung vom 13.11.2008 11:27
Version 4.2.3 des Content Management System Typo3 beseitigt zwei Cross-Site-Scripting-Schwachstellen, durch die Angreifer Anwendern JavaScripts unterschieben und im Kontext der Typo3-Site ausführen können. Üblicherweise lassen sich auf diese Weise Zugangsdaten stehlen. Die Fehler finden sich in der Systemerweiterung felogin und dem Backend-Module file.
Beim felogin-Fehler genügt es bereits, dass ein Opfer einem präparierten Link folgt. Der Fehler in file lässt sich nach Angaben der Entwickler nur ausnutzen, wenn das Opfer ein Backend-Anwender ist oder detaillierte Informationen über die Verzeichnisstruktur des Servers vorhanden sind.
Betroffen sind die Versionen 4.2.x. Anwender der felogin-Erweiterung sollten ihr System alsbald aktualisieren. Darüber hinaus erschien eingangs der Woche ein Sammelbericht über Sicherheitslücken in verschiedenen Typo3-Erweiterungen anderer Hersteller.
Siehe dazu auch
(dab)
English Version: Security update for Typo3
Version zum Drucken | Per E-Mail versenden
Permalink: http://heise.de/-216708
Themen-Forum Schwachstellen
Am 15. Januar 2012 jährte sich der Versand einer inzwischen berühmten E-Mail zum zehnten Mal: Bill Gates machte die Themen Sicherheit, Datenschutz und Verlässlichkeit von IT-Systemen zum obersten Ziel. 
Dank der redaktionseigenen Glaskugel präsentiert heise Security schon jetzt und wie immer exklusiv den ultimativen Jahresrückblick auf das vor uns liegende Jahr 2012. 
Bei einem Hackerangriff auf die FTP-Server des Groupware-Anbieters haben Unbekannte eine Backdoor in einige Installationspakete eingebaut. Der Angriff blieb vier Monate unbemerkt. 
