Menü
Alert!
Security

TYPO3: Updates beheben Schwachstellen in CMS und Extensions

Security-Releases für das Content-Management-System TYPO3 schieben unter anderem diversen Cross-Site-Scripting-Szenarien einen Riegel vor.

vorlesen Drucken Kommentare lesen 33 Beiträge
Updates für TYPO3 beheben Schwachstellen im CMS

(Bild: TYPO3)

Die Entwickler des Content-Management-Systems TYPO3 haben mit den Sicherheitsupdates 8.7.24 LTS für die 8er- und 9.5.4 LTS für die 9er-Versionsreihe insgesamt sieben Schwachstellen behoben. Da ihr Schweregrad – teils in Abhängigkeit von der Konfiguration des Webservers – sämtliche Einstufungen von "Low" bis "Critical" abdeckt, sollten Anwender zügig auf die aktuellen Versionen umsteigen.

Das DFN-CERT nennt als mögliche Gefahren neben Cross-Site-Scripting das Ausführen beliebigen Programmcodes sowie das Umgehen von Sicherheitsvorkehrungen. Je nach Lücke sind die Angriffe auch ohne Authentifizierung möglich. Wer sich für weitere Details interessiert, findet sie in TYPO3's Security-Bulletins.

Die abgesicherten TYPO3 LTS-Versionen 8.7.24 und 9.5.4 stehen zum Download bereit.

Die separat veröffentlichten Security Advisories TYPO3-PSA-2019-001 und TYPO3-PSA-2019-002 sind in erster Linie für Entwickler relevant. Sie fassen Risiken zusammen, die unter bestimmten Umständen von der CommandUtility-API und von Drittanbieter-Extensions ausgehen können.

Nutzer von TYPO3-ELTS-Versionen vor 6.2.39 sollten laut TYPO3-PSA-2019-003 auf 6.2.39 umsteigen: Die Flash-Komponente websvg bietet Angriffspunkte fürs Cross-Site-Scripting, deren Gefährlichkeit als "Medium" eingestuft wird.

Neben dem bereits genannten websvg sind auch die folgenden Extensions sicherheitsanfällig:

Aktualisierte Versionen der Extensions schließen die mit "Medium" bis "High" bewerteten Schwachstellen; Informationen sind den jeweils verlinkten Sicherheitshinweisen zu entnehmen. (ovw)