Sicherheits-Update für Typo3
Version 4.2.3 des Content Management System Typo3 beseitigt zwei Cross-Site-Scripting-Schwachstellen, durch die Angreifer Anwendern JavaScripts unterschieben und im Kontext der Typo3-Site ausführen können. Üblicherweise lassen sich auf diese Weise Zugangsdaten stehlen. Die Fehler finden sich in der Systemerweiterung felogin und dem Backend-Module file.
Beim felogin-Fehler genügt es bereits, dass ein Opfer einem präparierten Link folgt. Der Fehler in file lässt sich nach Angaben der Entwickler nur ausnutzen, wenn das Opfer ein Backend-Anwender ist oder detaillierte Informationen über die Verzeichnisstruktur des Servers vorhanden sind.
Betroffen sind die Versionen 4.2.x. Anwender der felogin-Erweiterung sollten ihr System alsbald aktualisieren. Darüber hinaus erschien eingangs der Woche ein Sammelbericht über Sicherheitslücken in verschiedenen Typo3-Erweiterungen anderer Hersteller.
Quelle: heise.de
andere interessante Artikel:
- Erneut kritische Lücken im VLC media player
- Neue Typo3-Versionen 4.3.1 und 4.2.11 verfügbar
- Google dementiert Sicherheitslücke in Google Mail
- Windows-Wurm nimmt an Fahrt auf
- Wurm dringt in Windows-Systeme über RPC-Lücke ein
tags: CMS, felogin, JavaScript, PHP, Typo3
keine Kommentare | Kommentar schreiben | nach oben
