[Warning] Sicherheitslücken in TYPO3

Stephan Richter richter at cert.at
Wed Mar 6 19:11:23 CET 2013 

6. März 2013

   Angesichts der Schwere der Lücken und der hohen Anzahl an
   installierten TYPO3 Content Management Systemen bittet CERT.at um
   Beachtung der folgenden Hinweise.

Beschreibung

   TYPO3 Core enthält Bugs, die zu SQL Injection und Open Redirection
   führen können.

SQL Injection in der Subkomponente Extbase Framework

   Wegen unzureichender Behandlung von Benutzereingaben ist der Extbase
   Database Abstraction Layer anfällig für SQL Injection. TYPO3-
   Seiten, auf denen keine Extbase Extensions installiert sind, sind
   nicht betroffen. Wie dem TYPO3 Security Team berichtet wurde,
   wird die Schwachstelle bereits aktiv ausgenützt.

Open Redirection in der Subkomponente Access Tracking Mechanism

   Aufgrund ungenügender ܜberprüfung von Benutzereingaben ermöglicht der
   Access Tracking Mechanism (Jumpurl Feature) Redirects zu beliebigen
   URLs.

Betroffene Systeme

   Alle TYPO3-Installationen mit entsprechender Konfiguration bis
   einschlieߟlich der Versionen
     * 4.5.23
     * 4.6.16
     * 4.7.8
     * 6.0.2

Abhilfe

   Upgrade auf die entsprechend angepassten Versionen
     * 4.5.24
     * 4.6.17
     * 4.7.9
     * 6.0.3

Allgemeiner Hinweis zur Hebung der Systemsicherheit

   Generell empfiehlt CERT.at, wo möglich die "automatisches
   Update"-Features von Software zu nutzen, parallel Firewall-Software
   aktiv und den Virenschutz aktuell zu halten.
     __________________________________________________________________

References


https://typo3.org/teams/security/security-bulletins/typo3-core/typo3-core-sa-2013-001/

-- 
// Stephan Richter <richter at cert.at> - T: +43 1 5056416 78
// CERT Austria - http://www.cert.at/
// Eine Initiative der nic.at GmbH - http://www.nic.at/
// Firmenbuchnummer 172568b, LG Salzburg

-------------- next part --------------
A non-text attachment was scrubbed...
Name: signature.asc
Type: application/pgp-signature
Size: 901 bytes
Desc: OpenPGP digital signature
URL: <http://lists.cert.at/pipermail/warning/attachments/20130306/61bafb49/attachment.sig>

More information about the Warning mailing list