Sicherheitslücken in TYPO3 Extensions

Heute morgen wurden gleich mehrere Sicherheitslücken in verschiedenen TYPO3-Extensions veröffentlicht. Auf der TYPO3-announce Mailingliste wurde eine  „Collective Security Bulletin“ Mail (TYPO3-20080619-1) veröffentlicht, wo in gesammelter Form vor den gefundenen Sicherheitslücken in weniger populären Extensions gewarnt wird. Lars Houmark, der Author, weist aber darauf hin, dass es bei relevanteren Sicherheitslücken in weit verbreiteten Extensions oder gar der TYPO3-Core weiterhin eine Mail pro Sicherheitslücke geben wird.

Folgende Dritt-Anbieter-Extensions sind betroffen:

  • Frontend Filemanager (air_filemanager) <=0.6.1
    Typ: Schadcodeausführung auf dem Apache Webserver
    Gewichtung: hoch
    Lösung: Updade auf Version 0.6.2
  • CoolURI (cooluri) <= 1.0.11
    Typ: SQL-Injection
    Gewichtung: hoch
    Lösung: Update auf Version 1.0.12
  • DCD GoogleMap (dcdgooglemap) <= 1.1.0
    Typ: Cross Site Scripting (XSS)
    Gewichtung: mittel
    Lösung: Update auf Version 1.1.1
  • JobControl (dmmjobcontrol)  <= 1.15.0
    Typ: SQL Injection, Cross Site Scripting
    Gewichtung: hoch
    Lösung: Update auf Version 1.15.1
  • nepa-design.de Spam Protection (nd_antispam) <= 1.0.3
    Typ: Einstellungen von extern änderbar
    Gewichtung: niedirg
    Lösung: keine, Extension deinstallieren oder Schwachstelle selbst beheben. Die Extension wurde aus dem TYPO3 Extension Repository entfernt.
  • Diocese of Portsmouth Calendar Today (pd_calendar_today) <= 0.0.3
    Typ: SQL Injection
    Gewichtung: hoch
    Lösung: keine, Extension deinstallieren oder Schwachstelle selbst beheben. Die Extension wurde aus dem TYPO3 Extension Repository entfernt.
  • Diocese of Portsmouth Training Courses (pd_trainingcourses) <= 0.1.1
    Typ: SQL Injection
    Gewichtung: hoch
    Lösung: keine, Extension deinstallieren oder Schwachstelle selbst beheben. Die Extension wurde aus dem TYPO3 Extension Repository entfernt.
  • Download system (sb_downloader) <= 0.1.4
    Typ: SQL Injection
    Gewichtung: hoch
    Lösung: Update auf Version 0.1.5
  • Random Prayer (ste_prayer) <= 0.0.2
    Typ: SQL Injection
    Gewichtung: hoch
    Lösung: keine, Extension deinstallieren oder Schwachstelle selbst beheben. Die Extension wurde aus dem TYPO3 Extension Repository entfernt.
  • TIMTAB – social bookmark icons (timtab_sociable) <= 2.0.4
    Typ: SQL Injection
    Gewichtung: hoch
    Lösung: Update auf Version 2.0.5
  • Resource Library (tjs_reslib) <= 0.1.0
    Typ: Cross Site Scripting (XSS)
    Gewichtung: mittel
    Lösung: keine, Extension deinstallieren oder Schwachstelle selbst beheben. Die Extension wurde aus dem TYPO3 Extension Repository entfernt.
  • Fussballtippspiel (toto) <= 0.1.1
    Typ: SQL Injection
    Gewichtung: hoch
    Lösung: Update auf Version 0.1.2
  • TARGET-E WorldCup Bets (worldcup) <= 2.0.0
    Typ: SQL Injection, Cross Site Scripting (XSS)
    Gewichtung: hoch
    Lösung: Update auf Version 2.0.1

Hinterlasse einen Kommentar

1 Kommentar auf "Sicherheitslücken in TYPO3 Extensions"

Benachrichtige mich zu:
avatar

Sortiert nach:   neuste | älteste | beste Bewertung
trackback
9 Jahre 4 Monate her

Sicherheitslücken in TYPO3 Extensions…

Es wurden gleich mehrere Sicherheitslücken in verschiedenen TYPO3-Extensions veröffentlicht. Auf der TYPO3-announce Mailingliste wurde eine “Collective Security Bulletin” Mail (TYPO3-20080619-1) veröffentlicht, wo in gesammelter Form vor den ge…

wpDiscuz
Weitere Beiträge zum Thema
Jetzt wird’s privat: Google personalisiert die Suchfunktion
User-Agent wechsel dich: Pfusch beim T-Online-Browser
Magento Stammtisch: Community Edition vs. Enterprise Edition
FLOW3 könnte die PHP-Welt auf den Kopf stellen