Die Entwickler von Typo3 haben neue Versionen des beliebten und freien CMS veröffentlicht. In 4.3.1 und 4.2.11 wurden zahlreiche Fehler behoben und Benutzer von OpenID sollten schnellstmöglich ihr CMS updaten. Die OpenID-Erweiterung ist aber standardmäßig deaktiviert.

Bei aktivierter Erweiterung können sich Angreifer mehr Rechte verschaffen, indem sie die Identität anderer User benutzen. Bekannt ist, dass dies im Moment aber nur bei einem OpenID-Provider möglich und es noch nicht bekannt, ob diese Schwachstelle schon aktiv ausgenutzt wird.

Version 4.2.3 des Content Management System Typo3 beseitigt zwei Cross-Site-Scripting-Schwachstellen, durch die Angreifer Anwendern JavaScripts unterschieben und im Kontext der Typo3-Site ausführen können. Üblicherweise lassen sich auf diese Weise Zugangsdaten stehlen. Die Fehler finden sich in der Systemerweiterung felogin und dem Backend-Module file.

Beim felogin-Fehler genügt es bereits, dass ein Opfer einem präparierten Link folgt. Der Fehler in file lässt sich nach Angaben der Entwickler nur ausnutzen, wenn das Opfer ein Backend-Anwender ist oder detaillierte Informationen über die Verzeichnisstruktur des Servers vorhanden sind.

Betroffen sind die Versionen 4.2.x. Anwender der felogin-Erweiterung sollten ihr System alsbald aktualisieren. Darüber hinaus erschien eingangs der Woche ein Sammelbericht über Sicherheitslücken in verschiedenen Typo3-Erweiterungen anderer Hersteller.

Quelle: heise.de