Seit längerem gab es heute wieder mal Advisories des TYPO3 Security Teams: Betroffen ist zunächst die “Visitor Tracking System” Extension (VTS, Extension-Schlüssel “de_phpot”).

Als negatives Novum muss gelten, dass der Extension-Autor nicht zur Behebung erreicht werden konnte - Konsequenz: Die Extension ist nun aus dem Repository verbannt. Der Verlust dürfte verschmerzbar sein, da das performanceintensive VTS (internes Protokollieren jedes Mausklicks) schon seit langem als ungünstige Lösung gilt.

Die verschiedenen Probleme - SQL Injection, Information Disclosure, Denial of Service - die von Henning Pingel aufgedeckt wurden, sind als schwerwiegend eingestuft. Details finden sich wie immer im offiziellen Security Bulletin.Insbesondere wird darauf hingewiesen, dass die Extension nicht nur deaktiviert, sondern auch deinstalliert werden sollte.

Geschrieben am Mittwoch, 16. April 2008 um 09:52 Uhr und abgelegt unter Security Alarm. Verfolgen Sie die Diskussion zu diesem Beitrag per RSS 2.0 Feed. Sie können diesen Beitrag kommentieren oder einen trackback von Ihrer eigenen Webseite setzen.