[Warning] Sicherheitslücken in Typo3
Robert Waldner
waldner at cert.at
Wed Jul 28 15:59:21 CEST 2010
28. Juli 2010
Angesichts der Schwere der Lücken und der hohen Anzahl an
installierten Typo3 Content-Management-Systemen bittet CERT.at um
Beachtung der folgenden Hinweise.
Beschreibung
Typo3 enthät Bugs die zu SQL Injection, Arbitrary Code Execution und
Cross-Site-Scripting führen können sowie Probleme mit Information
Disclosure, unsicheren Zufallszahlen und Authentication/Session
Management.
SQL Injection
Benutzer, die das Recht haben, Records zu editieren, die eine
bestimmte WHERE-Klausel enthalten bzw. das Auto-Suggest-Feature
benutzen, können diesen Bug ausnutzen.
Arbitrary Code Execution
In gewissen Webserver-Setups ist es für gültige Benutzer möglich,
Dateien hochzuladen, die dann als PHP mit den Rechten des Webservers
selbst ausgeführt werden.
Cross Site Scripting
Für gültige Backend-Benutzer ist es möglich, durch unzureichende
Prüfung von Benutzereingaben, XSS-Bugs an mehreren Stellen
auszunützen.
Information Disclosure, Insecure Randomness und Authentication/Session
Management
Details siehe das Advisory von Typo3.org[1].
Auswirkungen
Betroffene Systeme
Alle Typo3-Installationen mit entsprechender Konfiguration bis
einschliesslich der Versionen
* 4.1.13
* 4.2.12
* 4.3.3
* 4.4
Abhilfe
Upgrade auf die entsprechend angepassten Versionen
* 4.1.14
* 4.2.13
* 4.3.4
* 4.4.1
Hinweis
Generell empfiehlt CERT.at, wo möglich die "automatisches
Update"-Features von Software zu nutzen, parallel Firewall-Software
aktiv und den Virenschutz aktuell zu halten.
__________________________________________________________________
Informationsquelle(n):
Meldung von Typo3 (Englisch)
[1] http://typo3.org/teams/security/security-bulletins/typo3-sa-2010-012/
-------------- next part --------------
A non-text attachment was scrubbed...
Name: signature.asc
Type: application/pgp-signature
Size: 198 bytes
Desc: OpenPGP digital signature
URL: <http://lists.cert.at/pipermail/warning/attachments/20100728/f8104541/attachment.sig>
More information about the Warning
mailing list