Security Bulletin zu TYPO3 Extensions - 28.1.2013

Am 28. Januar 2013 hat das TYPO3 Security Team ein Security Bulletin zu mehreren Extensions veröffentlicht. Die gefundenen Sicherheitslücken betreffen Erweiterungen, die von Drittanbietern stammen und nicht zum TYPO3 Programmkern gehören. Die folgenden Extensions sind betroffen: attacalendar, attacpetition, eu_subscribe, exinit_joboffer, fefilebrowser, js_css_optimizer, kk_csv2table, lonewsseo, mn_mysql2json, news_search, tipafriend_plus, twitter_auth, sofortueberweisung2commerce, sys_messages

Tip-A-Friend Plus (tipafriend_plus), Version 0.1.6 und früher
Problem: Cross Site Scripting, Mail Header Injection
Risiko: kritisch
Empfehlung: Extension deinstallieren und vom System entfernen, da sie vom Autor nicht weiter gepflegt wird
Hinweis: Die Sicherheitslücke wird von Angreifern bereits aktiv ausgenutzt. Sofern der Autor eine bereinigte Version der Extension zur Verfügung stellt, kann diese in das Extension Repository zurückkehren.

Attac Calendar (attacalendar), Version 1.0.7 und früher
Problem: SQL Injection
Risiko: kritisch 
Empfehlung: Der Autor der Extension hat bisher kein Update zur Verfügung gestellt. Die Erweiterung sollte deaktiviert und vom System entfernt werden. 
Hinweis: Die Sicherheitslücke wird von Angreifern bereits aktiv ausgenutzt. Sofern der Autor eine bereinigte Version der Extension zur Verfügung stellt, kann diese in das Extension Repository zurückkehren.

SEO Pack for tt_news (lonewsseo), Version 1.3.2 und früher
Problem: SQL Injection
Risiko: Hoch
Empfehlung: Update auf Version 1.3.3

Frontend File Browser (fefilebrowser), Version 0.2.1 und früher
Problem: Hochladen beliebiger Dateien
Risiko: Kritisch
Empfehlung: Extension deinstallieren und vom System entfernen, da sie vom Autor nicht weiter gepflegt wird.

Exinit job offer (exinit_joboffer), Version 0.0.1 
Problem: SQL Injection
Risiko: Hoch
Empfehlung: Der Autor der Extension hat bisher kein Update zur Verfügung gestellt. Die Erweiterung sollte deaktiviert und vom System entfernt werden.

MySQL2JSON (mn_mysql2json), Version 2.1.0 und früher
Problem: SQL Injection
Risiko: Hoch
Empfehlung: Extension deinstallieren und vom System entfernen, da sie vom Autor nicht weiter gepflegt wird.

Attac Petition (attacpetition), Version 0.0.4 und früher
Problem: SQL Injection
Risiko: Hoch
Empfehlung: Der Autor der Extension hat bisher kein Update zur Verfügung gestellt. Die Erweiterung sollte deaktiviert und vom System entfernt werden.

Subscription (eu_subscribe), Version 0.0.5 und früher
Problem: SQL Injection
Risiko: Hoch
Empfehlung: Extension deinstallieren und vom System entfernen, da sie vom Autor nicht weiter gepflegt wird.

News Search (news_search), Version 0.1.0 und früher
Problem: SQL Injection
Risiko: Hoch
Empfehlung: Der Autor der Extension hat bisher kein Update zur Verfügung gestellt. Die Erweiterung sollte deaktiviert und vom System entfernt werden.

Twitter Auth Service (twitter_auth), Version 1.0.0 und früher
Problem: Umgehen der Authentifizierung
Risiko: Mittel
Empfehlung: Der Autor der Extension hat bisher kein Update zur Verfügung gestellt. Die Erweiterung sollte deaktiviert und vom System entfernt werden.

From a csv-file to a html-table (kk_csv2table), Version 0.2.2 und früher
Problem: File Disclosure
Risiko: Mittel
Empfehlung: Update auf Version 0.2.3

Javascript and CSS Optimizer (js_css_optimizer), Version 1.1.13 und früher
Problem: Cross Site Scripting
Risiko: Mittel
Empfehlung: Update auf Version 1.1.14

UserTask Center, Messaging (sys_messages), Version 1.1.0 und früher
Problem: Cross Site Scripting
Risiko: Mittel
Empfehlung: Extension deinstallieren und vom System entfernen, da sie vom Autor nicht weiter gepflegt wird.

sofortueberweisung2commerce (sofortueberweisung2commerce), Version 2.0.0
Problem: Unserialize Vulnerability
Risiko: Mittel
Empfehlung: Update auf Version 2.0.1

Über den Extension Manager im TYPO3 Backend kann ein Administrator prüfen, ob eine der betroffenen Erweiterungen im System verwendet wird. 

 

Home » Einzelansicht

Servicetelefon 0800 - 8976326 (kostenloser Anruf)