Die Entwickler von Typo3 haben neue Versionen des beliebten und freien CMS veröffentlicht. In 4.3.1 und 4.2.11 wurden zahlreiche Fehler behoben und Benutzer von OpenID sollten schnellstmöglich ihr CMS updaten. Die OpenID-Erweiterung ist aber standardmäßig deaktiviert.

Bei aktivierter Erweiterung können sich Angreifer mehr Rechte verschaffen, indem sie die Identität anderer User benutzen. Bekannt ist, dass dies im Moment aber nur bei einem OpenID-Provider möglich und es noch nicht bekannt, ob diese Schwachstelle schon aktiv ausgenutzt wird.

Suns freie Entwicklungsumgebung Netbeans bringt in seiner gerade erschienenen Version 6.5 erstmals einen Editor für die Skriptsprache PHP mit. Er verfügt über Codevervollständigung, semantische und syntaktische Codehervorhebung, versteht Here-Dokumente und enthält Generatoren für MySQL-Code-Schnipsel. Der bereits in Entwicklung befindliche Nachfolger soll SQL-Kommandos in PHP-Strings vervollständigen können.

Weitere Neuerungen betreffen Javascript-Entwickler, die ihren Code jetzt via Browser-Plug-in mit Debuggern im Firefox und im Internet Explorer untersuchen können. Ein Monitor zeigt den HTTP-Verkehr zwischen Browser und Server an. Verbessert haben die Entwickler außerdem die Editoren für Javascript, CSS und SQL.

Erstmals lassen sich mit Netbeans Projekte in Suns JavaFX bearbeiten, das als Konkurrent zu Microsofts Silverlight und Adobes Actionscript auftritt. Der Editor bietet die üblichen Funktionen samt Codevervollständigung, Ein-/Ausklappen und Syntaxhervorhebung sowie Popups für Javadoc-Informationen. Verbesserungen gab es ebenfalls bei der Unterstützung für Groovy, Ruby, JavaME, JUnit und SQL.

Eine komplette Liste der Neuerungen hält die Projektseite bereit. Zum Download stehen fertige Pakete für Linux, Windows, Sparc und Mac OS X sowie eine plattformunabhängige Version bereit. Voraussetzung für den Betrieb ist ein JDK ab Version 5, Update 14. Die IDE steht unter der GPLv2 und der CDDL

Quelle: heise.de

Version 4.2.3 des Content Management System Typo3 beseitigt zwei Cross-Site-Scripting-Schwachstellen, durch die Angreifer Anwendern JavaScripts unterschieben und im Kontext der Typo3-Site ausführen können. Üblicherweise lassen sich auf diese Weise Zugangsdaten stehlen. Die Fehler finden sich in der Systemerweiterung felogin und dem Backend-Module file.

Beim felogin-Fehler genügt es bereits, dass ein Opfer einem präparierten Link folgt. Der Fehler in file lässt sich nach Angaben der Entwickler nur ausnutzen, wenn das Opfer ein Backend-Anwender ist oder detaillierte Informationen über die Verzeichnisstruktur des Servers vorhanden sind.

Betroffen sind die Versionen 4.2.x. Anwender der felogin-Erweiterung sollten ihr System alsbald aktualisieren. Darüber hinaus erschien eingangs der Woche ein Sammelbericht über Sicherheitslücken in verschiedenen Typo3-Erweiterungen anderer Hersteller.

Quelle: heise.de