Menü
Alert!

Sicherheits-Update schließt kritische Lücke in Typo3

Lesezeit: 1 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 49 Beiträge
Von

Die Entwickler des Content-Management-Systems Typo3 weisen auf mehrere Schwachstellen in den Versionen 4.0.0 bis 4.0.9, 4.1.0 bis 4.1.7 und 4.2.0 bis 4.2.3 hin. Dazu gehört neben Cross-Site-Scripting-Fehlern und schwacher Verschlüsselung auch die Möglichkeit für einen Angreifer, eigene Befehle an die Shell des Systems zu übergeben und zu starten. Ursache des Problems ist die fehlerhafte Verarbeitung übergebener Parameter in der "Indexed Search Engine"-Erweiterung.

In den Versionen 4.0.10, 4.1.8 und 4.2.4 sind die Fehler behoben. Die Entwickler haben die in ihrem Security Bulletin aufgeführten Lücken insgesamt mit "kritisch" bewertet. Anwender sollten die Updates so schnell wie möglich installieren. Allerdings gibt es mit den letzten Releases der Versionen 4.1.8 und 4.0.10 ein Problem mit PHP 4. Sie enthalten aus Versehen Public-static-Deklarationen der Funktion generateRandomBytes in t3lib/class.t3lib_div.php, die PHP 4 nicht unterstützt. Überarbeitete Versionen sollen aber demnächst erscheinen.

Siehe dazu auch:

(Daniel Bachfeld) / (dab)