Sicherheitslücken in Typo3-Erweiterungen 03.12.2009
CrossSiteScripting, SQL-Injections und Command-Injections in zahlreichen Typo3-Erweiterungen
Die Entwickler des Content Management Systems (CMS) Typo3 haben Schwachstellen-Berichte veröffentlicht, in denen insgesamt neun Erweiterungen benannt werden, die schwerwiegende Sicherheitslücken aufweisen. Probleme wie CrossSiteScripting, SQL-Injections oder Command-Injections erlauben es Angreifern, den Inhalt von Typo3-Webseiten zu verändern, die Datenbank zu manipulieren oder Informationen aus der Datenbank auszulesen.
Die betroffenen Erweiterungen sind nicht Bestandteil der Standardinstallation. Laut Bericht gehört zu den unsicheren Extensions:
- [AN] Search it! (an_searchit) 2.4.1 (und vorherige)
- Simple download-system with counter and categories (kk_downloader) 1.2.1 (und vorherige)
- Automatic Base Tags for RealUrl (lt_basetag) 1.0.0
- Trips (mchtrips) 2.0.0
- simple Glossar (simple_glossar) 1.0.3 (und vorherige)
- TW Productfinder (tw_productfinder) 0.0.2 (und vorherige)
- DB Integration (wfqbe) 1.3.1 (und vorherige)
- Direct Mail (direct_mail) 2.6.4 (und vorherige)
- Calendar Base (cal) 1.2.0 (und vorherige)
Die meisten Probleme werden als risikoreich eingestuft. Zur Zeit gibt es allerdings nur Korrekturen für die Erweiterungen DB Integration, Trips, kk_downloader, Direct Mail und Calendar Base, die sich über den "TYPO3 Extension Manager" aktualisieren lassen. Die anderen Extensions wurden aus dem Extension Repository bereits entfernt, da es hier aus unterschiedlichen Gründen keine Updates gibt. Betroffene Anwender sollten diese Erweiterungen deinstallieren.
Weitere Informationen:
- TYPO3 Collective Security Bulletin TYPO3-SA-2009-017: Several vulnerabilities in third party extensions
- TYPO3 Security Bulletin TYPO3-SA-2009-018: XSS vulnerability in extension "Direct Mail" (direct_mail)
- TYPO3 Security Bulletin TYPO3-SA-2009-019: Blind SQL Injection vulnerability in extension "Calendar Base" (cal)
- Lücken in mehreren Typo3-Erweiterungen, heise.de