Sicherheitsupdate für Typo3
Neun Sicherheitslücken listet das Security Bulletin auf. Vier davon befinden sich im Backend, wo sich Schlüssel für die Verschlüsselung ausspionieren und Frames mithilfe manipulierter URLs kapern lassen. Zudem finden sich dort ein XSS-Leck und eines, das zum Ausführen von beliebigem Code taugt.
Im Frontend werden URL-Parameter nicht ausreichend geprüft, was für SQL-Injections taugt, und die Login-Seite ist anfällig für Cross-Site-Scriptings. Weitere XSS-Lecks sind in API-Funktion t3lib_div::quoteJSvalue und im Install Tool zu finden. In diesem sind zudem Authentifizierung und Session Handling unsicher.
Mit Typo3 4.2.10 und 4.1.13 hat man die Lecks abgedichtet. Auch in die Beta 2 der kommenden Version 4.3 sind die Änderungen bereits eingeflossen. (Daniel Dubsky)