TYPO3 4.1.4 und 4.0.8 mit kleinerem Security-Fix

Montag, 10. Dezember 2007 22:50 - Autor: Ekkehard Gümbel

Die heute veröffentlichten Versionsupdates auf 4.1.4 und 4.0.8 beinhalten die Behebung einer Sicherheitslücke in indexed_search - eine Systemextension, die zum Standardumfang von TYPO3 gehört. Das Problem wird allerdings als eher unkritisch eingeschätzt: Es geht um die Möglichkeit von SQL Injection, allerdings nur für angemeldete Backend-Benutzer.

Was bedeutet das? Ein Redakteur könnte - mit sehr viel Knowhow, und erheblicher Mühe - unter bestimmten Umständen Datenbankkommandos absetzen und damit zum Beispiel unberechtigt Inhalte verändern oder auch Administrator werden. Aus Sicherheitssicht dürfte dieses Update also vor allem für Anwender mit einer großen Gruppe von (oder mit wenig vertrauenswürdigen) Backend-Benutzern, oder mit generell hohem Schutzbedarf von Bedeutung sein.

Das offizielle Bulletin dazu findet sich wie üblich unter http://typo3.org/teams/security/security-bulletins/typo3-20071210-1/.

Geschrieben am Montag, 10. Dezember 2007 um 22:50 Uhr und abgelegt unter Security Alarm. Verfolgen Sie die Diskussion zu diesem Beitrag per RSS 2.0 Feed. Sie können diesen Beitrag kommentieren oder einen trackback von Ihrer eigenen Webseite setzen.

5 Kommentare zu “TYPO3 4.1.4 und 4.0.8 mit kleinerem Security-Fix”

  1. TYPO3 Blogger
    Dezember 11th, 2007 11:31
    1

    TYPO3 4.1.4 und 4.0.8 veröffentlicht…

    Gestern wurden die neuen TYPO3 Versionen 4.1.4 und 4.0.8 veröffentlicht. Neben kleineren Schönheitsfehlern wurde ein Sicherheitsloch geschlossen, was von Backendbenutzern via SQL Injection ausgenutzt werden kann (mehr Infos).
    Runterladen könnt Ihr e…

  2. Felix
    Dezember 12th, 2007 10:10
    2

    “Ein Redakteur könnte - mit sehr viel Knowhow, und erheblicher Mühe - unter bestimmten Umständen Datenbankkommandos absetzen” klingt schon ziemlich nach schönfärberei. Richtiger wäre “Ein Redakteur könnte - mit minimalem Knowhow und einem kleinem Skript [...]“.

  3. Ekkehard Gümbel
    Dezember 13th, 2007 01:28
    3

    Hallo Felix, Du hast Recht, es ist wie immer: Wenn ein geeignetes Skript auftaucht, können auch Kiddies es benutzen… Irgendjemand müsste halt bloß der erste sein, der besagtes “sehr viel Knowhow, und erhebliche Mühe” einsetzt, um dieses Skript zu entwicklen.
    Sorry wenn’s nach “Schönfärben” klang, das will ich bestimmt nicht. [spekulation]Ich sehe bloß momentam die Wahrscheinlichkeit nicht sooo hoch, dass ein solches Skript auftaucht.[/spekulation]

  4. maxhb
    Januar 7th, 2008 13:39
    4

    Das Update auf Version 4.1.4 hat zwar einige Sicherheitslücken geschlosse, aber leider wurde ein neues Sicherheitsproblem in der Lokalisierungs-Engine eingefüht.

    Daher unbedingt auf Version 4.1.5 aktualisieren!

  5. A.Jendrysik
    Januar 18th, 2008 06:03
    5

    Ja, das mit den Sicherheitslücken stopfen kennen wir doch alle aus anderen Systemen auch. Jedes System offeriert Sicherheitslücken! Aber Version 4.1.5 sollte vorerst erstmal die neusten Löcher stopfen!

Kommentar abgeben:

« Alles so schön ruhig…?
Security Alarm: Extension VTS (de_phpot) wegen Sicherheitsmängeln zurückgezogen »