Sicherheitslücken in TYPO3 Extensions

Heute morgen wurden gleich mehrere Sicherheitslücken in verschiedenen TYPO3-Extensions veröffentlicht. Auf der TYPO3-announce Mailingliste wurde eine  „Collective Security Bulletin“ Mail (TYPO3-20080619-1) veröffentlicht, wo in gesammelter Form vor den gefundenen Sicherheitslücken in weniger populären Extensions gewarnt wird. Lars Houmark, der Author, weist aber darauf hin, dass es bei relevanteren Sicherheitslücken in weit verbreiteten Extensions oder gar der TYPO3-Core weiterhin eine Mail pro Sicherheitslücke geben wird.

Folgende Dritt-Anbieter-Extensions sind betroffen:

  • Frontend Filemanager (air_filemanager) <=0.6.1
    Typ: Schadcodeausführung auf dem Apache Webserver
    Gewichtung: hoch
    Lösung: Updade auf Version 0.6.2
  • CoolURI (cooluri) <= 1.0.11
    Typ: SQL-Injection
    Gewichtung: hoch
    Lösung: Update auf Version 1.0.12
  • DCD GoogleMap (dcdgooglemap) <= 1.1.0
    Typ: Cross Site Scripting (XSS)
    Gewichtung: mittel
    Lösung: Update auf Version 1.1.1
  • JobControl (dmmjobcontrol)  <= 1.15.0
    Typ: SQL Injection, Cross Site Scripting
    Gewichtung: hoch
    Lösung: Update auf Version 1.15.1
  • nepa-design.de Spam Protection (nd_antispam) <= 1.0.3
    Typ: Einstellungen von extern änderbar
    Gewichtung: niedirg
    Lösung: keine, Extension deinstallieren oder Schwachstelle selbst beheben. Die Extension wurde aus dem TYPO3 Extension Repository entfernt.
  • Diocese of Portsmouth Calendar Today (pd_calendar_today) <= 0.0.3
    Typ: SQL Injection
    Gewichtung: hoch
    Lösung: keine, Extension deinstallieren oder Schwachstelle selbst beheben. Die Extension wurde aus dem TYPO3 Extension Repository entfernt.
  • Diocese of Portsmouth Training Courses (pd_trainingcourses) <= 0.1.1
    Typ: SQL Injection
    Gewichtung: hoch
    Lösung: keine, Extension deinstallieren oder Schwachstelle selbst beheben. Die Extension wurde aus dem TYPO3 Extension Repository entfernt.
  • Download system (sb_downloader) <= 0.1.4
    Typ: SQL Injection
    Gewichtung: hoch
    Lösung: Update auf Version 0.1.5
  • Random Prayer (ste_prayer) <= 0.0.2
    Typ: SQL Injection
    Gewichtung: hoch
    Lösung: keine, Extension deinstallieren oder Schwachstelle selbst beheben. Die Extension wurde aus dem TYPO3 Extension Repository entfernt.
  • TIMTAB – social bookmark icons (timtab_sociable) <= 2.0.4
    Typ: SQL Injection
    Gewichtung: hoch
    Lösung: Update auf Version 2.0.5
  • Resource Library (tjs_reslib) <= 0.1.0
    Typ: Cross Site Scripting (XSS)
    Gewichtung: mittel
    Lösung: keine, Extension deinstallieren oder Schwachstelle selbst beheben. Die Extension wurde aus dem TYPO3 Extension Repository entfernt.
  • Fussballtippspiel (toto) <= 0.1.1
    Typ: SQL Injection
    Gewichtung: hoch
    Lösung: Update auf Version 0.1.2
  • TARGET-E WorldCup Bets (worldcup) <= 2.0.0
    Typ: SQL Injection, Cross Site Scripting (XSS)
    Gewichtung: hoch
    Lösung: Update auf Version 2.0.1

Hinterlasse einen Kommentar

1 Kommentar auf "Sicherheitslücken in TYPO3 Extensions"

Benachrichtige mich zu:
avatar

Sortiert nach:   neuste | älteste | beste Bewertung
trackback
9 Jahre 7 Tage her

Sicherheitslücken in TYPO3 Extensions…

Es wurden gleich mehrere Sicherheitslücken in verschiedenen TYPO3-Extensions veröffentlicht. Auf der TYPO3-announce Mailingliste wurde eine “Collective Security Bulletin” Mail (TYPO3-20080619-1) veröffentlicht, wo in gesammelter Form vor den ge…

wpDiscuz
Weitere Beiträge zum Thema
Danke an unseren neuen Kunden LA BIOSTHETIQUE Paris
Formulare optimieren und Conversion-Rate steigern
Flattr für die Flagbit Extensions
Flagbit Magento Modul ist aktueller Magento Staff Pick