zurück zum Artikel

TYPO3: Updates für verwundbare Extensions verfügbar

TYPO3: Mehrere Extensions ermöglichen Cross-Site-Scripting-Angriffe

(Bild: Typo3)

Mehrere Extensions ermöglichen Remote-Angriffe auf TYPO3-Installationen. Bis auf eine Ausnahme stehen Updates bereit; eine zügige Aktualisierung ist ratsam.

Insgesamt sechs Erweiterungen für das Content-Management-System (CMS) TYPO3 weisen Schwachstellen auf, die einem entfernten Angreifer unter anderem die Durchführung von Cross-Site-Scripting-Angriffen und den Zugriff auf Datenbankinhalte bis hin zur vollständigen Übernahme von Frontend-Benutzerkonten ermöglichen könnten.

Betroffen sind laut BSI [1] und Sicherheitswarnungen der TYPO3-Entwickler die Extensions Download Center [2], Smallads [3], Frontend User Registration [4], DRC News Comment [5], JobControl [6] und Caretaker [7] in mehreren Versionen. Das BSI stuft das von den Schwachstellen ausgehende Sicherheitsrisiko als "hoch" ein. Die Einschätzung von TYPO3 lautet fast durchweg "critical"; lediglich Smallads ("medium") bildet eine Ausnahme.

Die jeweils betroffenen Versionen sind, ebenso wie Links zu den bereitstehenden Updates, den in dieser Meldung verlinkten Sicherheitshinweisen zu entnehmen. Nutzer sollten zeitnah auf die abgesicherten Versionen umsteigen.

Einzig für die ExtensionJobControl steht kein Update bereit, da die Entwicklung eingestellt wurde. In der Konsequenz hat das TYPO3-Team sie aus der Erweiterungsdatenbank gelöscht und rät Nutzern dazu [8], sie auch aus ihrer CMS-Installation zu entfernen. (ovw [9])


URL dieses Artikels:
http://www.heise.de/-3925578

Links in diesem Artikel:
[1] https://www.cert-bund.de/advisoryshort/CB-K17-2200
[2] https://typo3.org/teams/security/security-bulletins/typo3-extensions/typo3-ext-sa-2017-016/
[3] https://typo3.org/teams/security/security-bulletins/typo3-extensions/typo3-ext-sa-2017-015/
[4] https://typo3.org/teams/security/security-bulletins/typo3-extensions/typo3-ext-sa-2017-017
[5] https://typo3.org/teams/security/security-bulletins/typo3-extensions/typo3-ext-sa-2017-018
[6] https://typo3.org/teams/security/security-bulletins/typo3-extensions/typo3-ext-sa-2017-019
[7] https://typo3.org/teams/security/security-bulletins/typo3-extensions/typo3-ext-sa-2017-020/
[8] https://typo3.org/teams/security/security-bulletins/typo3-extensions/typo3-ext-sa-2017-019
[9] mailto:ovw@heise.de