Quantcast
Aktuelles
Digital Eliteboard - Das Digitale Technik Forum

Registriere dich noch heute kostenlos, um Mitglied zu werden! Sobald du angemeldet bist, kannst du auf unserer Seite aktiv teilnehmen, indem du deine eigenen Themen und Beiträge erstellst und dich über deinen eigenen Posteingang mit anderen Mitgliedern unterhalten kannst! Zudem bekommst du Zutritt zu Bereichen, welche für Gäste verwehrt bleiben

Registriere dich noch heute kostenlos, um Mitglied zu werden! Sobald du angemeldet bist, kannst du auf unserer Seite aktiv teilnehmen, indem du deine eigenen Themen und Beiträge erstellst und dich über deinen eigenen Posteingang mit anderen Mitgliedern unterhalten kannst! Zudem bekommst du Zutritt zu Bereichen, welche für Gäste verwehrt bleiben

Hardware & Software Typo3: Neue Fassungen schließen hochriskante Sicherheitslücke

Angreifer könnten in Typo3 etwa eigenen PHP-Code einschleusen. Mit neuen Versionen schließen die Entwickler diese und weitere Sicherheitslücken.

Du musst Regestriert sein, um das angehängte Bild zusehen.


Drei neue Versionen haben die Entwickler des Typo3-Content-Management-Systems herausgegeben. Darin schließen sie mehrere Sicherheitslücken, von denen eine als hochriskant eingestuft wurde. Administratoren sollten die Aktualisierung zügig vornehmen.

Hochriskante Lücke


Die schwerwiegendste Schwachstelle findet sich im Formular-Designer-Modul. Von Nutzerinnen und Nutzern übergebene Daten wurden nicht von interner Konfiguration getrennt, wodurch bösartige Akteure Befehle einschleusen konnten, die durch TypoScript als PHP-Code ausgeführt wurden. Für ein Formular müssten dazu individuelle TypoScript-Anweisungen, in der Sicherheitsmeldung nennen die Typo3-Entwickler formDefintionsOverrides, und ein gültiger Zugang zum Backend-System vorhanden sein (CVE-2022-23503, CVSS 7.5, Risiko "hoch").

Fünf weitere Schwachstellen stufen die Entwickler als mittleres Risiko ein; sie sind in der Versionsmeldung von Typo3 verlinkt. Die neuen Fassungen enthalten keine weiteren Funktionsupdates, das Changelog nennt lediglich die abgedichteten Sicherheitslücken.

Betroffen sind diverse ältere Typo3-Versionen. Die aktuellen Fassungen 12.1.2, 11.5.20 LTS sowie 10.4.33 LTS korrigieren die sicherheitsrelevanten Fehler. Die ursprüngliche Bugfix-Version 12.1.1 hat das Projekt zügig durch 12.1.2 ersetzt, da sie bekannte Regressionen enthielt und somit ebenfalls fehlerhaft war.

Das Typo3-Update können Administratorinnen und Administratoren als Quellcode auf der Webseite des Projekts herunterladen. Weitere Möglichkeiten beschreibt Typo3 auf der Upgrade-Guide-Webseite. Admins sollten zeitnah ein Wartungsfenster zur Aktualisierung der Software einplanen. Die Entwickler weisen zudem darauf hin, dass kein Datenbank-Update für die Sicherheitsaktualisierungen nötig ist.

Quelle; heise
 
Zurück
Oben