Sicherheitsupdate für Typo3

SicherheitSicherheitsmanagement

Im Core von Typo3 wurden vier Schwachstellen entdeckt. Neue Versionen des CMS, in denen diese abgedichtet sind, liegen bereits vor.

Zwei der Lecks befinden sich im Backend, das anfällig für Cross-Site-Scriptings (XSS) ist und wo ein Angreifer durch einen Fehler im Task sys_action Nutzerdaten auslesen kann. Voraussetzung ist in beiden Fällen aber ein gültiger Login.

Ein weiteres XSS-Leck ist im Frontend zu finden, wo man der index.php unter bestimmten Umständen Parameter unterschieben und auf diese Weise Fehlermeldungen auslösen oder gar eigenen HTML-Code anzeigen kann. Am kritischsten ist aber ein Fehler in der Erweiterung saltedpasswords, durch den man die Authentifizierung umgehen und sich ohne Passwort einloggen kann.

Abgesehen davon bringen die neuen Typo3-Versionen 4.3.2 und 4.2.12 auch einige Bugfixes mit. (Daniel Dubsky)