Die heute veröffentlichten Versionsupdates auf 4.1.4 und 4.0.8 beinhalten die Behebung einer Sicherheitslücke in indexed_search – eine Systemextension, die zum Standardumfang von TYPO3 gehört. Das Problem wird allerdings als eher unkritisch eingeschätzt: Es geht um die Möglichkeit von SQL Injection, allerdings nur für angemeldete Backend-Benutzer.
Was bedeutet das? Ein Redakteur könnte – mit sehr viel Knowhow, und erheblicher Mühe – unter bestimmten Umständen Datenbankkommandos absetzen und damit zum Beispiel unberechtigt Inhalte verändern oder auch Administrator werden. Aus Sicherheitssicht dürfte dieses Update also vor allem für Anwender mit einer großen Gruppe von (oder mit wenig vertrauenswürdigen) Backend-Benutzern, oder mit generell hohem Schutzbedarf von Bedeutung sein.
Das offizielle Bulletin dazu findet sich wie üblich unter http://typo3.org/teams/security/security-bulletins/typo3-20071210-1/.
TYPO3 4.1.4 und 4.0.8 veröffentlicht…
Gestern wurden die neuen TYPO3 Versionen 4.1.4 und 4.0.8 veröffentlicht. Neben kleineren Schönheitsfehlern wurde ein Sicherheitsloch geschlossen, was von Backendbenutzern via SQL Injection ausgenutzt werden kann (mehr Infos).
Runterladen könnt Ihr e…
“Ein Redakteur könnte – mit sehr viel Knowhow, und erheblicher Mühe – unter bestimmten Umständen Datenbankkommandos absetzen” klingt schon ziemlich nach schönfärberei. Richtiger wäre “Ein Redakteur könnte – mit minimalem Knowhow und einem kleinem Skript [...]“.
Hallo Felix, Du hast Recht, es ist wie immer: Wenn ein geeignetes Skript auftaucht, können auch Kiddies es benutzen… Irgendjemand müsste halt bloß der erste sein, der besagtes “sehr viel Knowhow, und erhebliche Mühe” einsetzt, um dieses Skript zu entwicklen.
Sorry wenn’s nach “Schönfärben” klang, das will ich bestimmt nicht. [spekulation]Ich sehe bloß momentam die Wahrscheinlichkeit nicht sooo hoch, dass ein solches Skript auftaucht.[/spekulation]
Das Update auf Version 4.1.4 hat zwar einige Sicherheitslücken geschlosse, aber leider wurde ein neues Sicherheitsproblem in der Lokalisierungs-Engine eingefüht.
Daher unbedingt auf Version 4.1.5 aktualisieren!
Ja, das mit den Sicherheitslücken stopfen kennen wir doch alle aus anderen Systemen auch. Jedes System offeriert Sicherheitslücken! Aber Version 4.1.5 sollte vorerst erstmal die neusten Löcher stopfen!