Sicherheitslücken in 15 TYPO3 Erweiterungen

Das TYPO3 Security Team hat am 28. März drei Security Bulletins veröffentlich. Betroffen sind eine Reihe von TYPO3 Erweiterungen mit teilweise kritischen Lücken.

Im einzelnen sind die folgenden Erweiterungen von den Sicherheitslücken betroffen:

  • Powermail (powermail), Version 1.6.4 und früher
    Problem: Cross Site Scripting (XSS)
    Risiko: mittel
    Empfehlung: Update auf Version 1.6.5
  • WhoisLookup, Version 0.0.2 und früher
    Problem: Ausführung von beliebigem Code
    Risiko: kritisch
    Der Autor der Extension entwickelt diese Extension nicht mehr weiter
    Empfehlung: Extension deinstallieren und vom Server entfernen
  • Display CSV/Excel files (cag_tables) Version 3.0.2 und früher
    Problem: SQL Injection, Cross Site Scripting (XSS), File Disclosure
    Risiko: kritisch
    Empfehlung: Update auf Version 3.0.3
  • Useful Information in Reports Module (additional_reports), Version 2.4.3 und früher
    Problem: File Disclosure
    Risiko: kritisch
    Empfehlung: Update auf Version 2.4.4
  • General Data Display (general_data_display), Version 1.4.2 und früher
    Problem: SQL Injection, Cross Site Scripting (XSS)
    Risiko: kritisch
    Empfehlung: Update auf Version 1.4.3
  • Realty Manager (realty), Version 0.5.2 und früher
    Problem: Unserialize Vulneribility
    Risiko: kritisch
    Empfehlung: Update auf Version 0.5.3
  • FEUser->BELogin (dkd_feuser_belogin), Version 1.2.8 und früher
    Problem: SQL Injection
    Risiko: kritisch
    Empfehlung: Update auf Version 1.2.9
  • TCFacebook Connect (tc_fbconnect), Version 0.0.1 
    Problem: Authentication bypass
    Risiko: mittel
    Empfehlung: Update auf Version 0.0.2
  • Easy Login and Register with OpenID (dix_easylogin), Version 0.2.5 und früher
    Problem: Authentication bypass
    Risiko: mittel
    Empfehlung: Update auf Version 0.2.6
  • Ajado Facebook Connect (ajado_facebook), Version 0.2.1 und früher
    Problem: Authentication bypass
    Risiko: mittel Empfehlung:
    Update auf Version 0.2.2 
  • Facebook Connect to TYPO3 (facebook2t3), Version 0.2.2 und früher
    Problem: Authentication bypass
    Risiko: mittel Empfehlung:
    Update auf Version 0.2.3
  • Social Login to TYPO3 (sociallogin2t3), Version 0.2.0 und früher
    Problem: Authentication bypass
    Risiko: mittel Empfehlung:
    Update auf Version 0.2.1 
  • Event Board (kb_eventboard), Version 1.0.31 und früher
    Problem: SQL Injection
    Risiko: kritisch
    Empfehlung: Update auf Version 1.0.32
  • News System (news), Version 1.3.1 und früher
    Problem: SQL Injection
    Risiko: kritisch
    Empfehlung: Update auf Version 1.3.2 
  • Basic SEO (seo_basics), Version 0.8.1 und früher
    Problem: Cross Site Scripting (XSS)
    Risiko: mittel
    Empfehlung: Update auf Version 0.8.2

Wir empfehlen ein umgehendes Update (soweit verfügbar) bzw. die Deinstallation der betroffenen Erweiterung.

In Verbindung stehende Artikel:
 Sicherheitslücken in TYPO3 Erweiterungen - 23. Februar 2012
 Sicherheitsupdate für mehrere Erweiterungen veröffentlicht - 02. Februar 2012
 Kritische Sicherheitslücken in 3 TYPO3 Erweiterungen - 20. Oktober 2011
 Sicherheitsupdate für TYPO3 - 14. September 2011
Links:
Security Bulletin vom 28.3.2012 (1)
Security Bulletin vom 28.3.2012 (2)
Security Bulletin vom 28.3.2012 (3)
Mittwoch, 28. März 2012 | Von: Jochen Weiland
zurück
 

Home » Einzelansicht

Servicetelefon 0800 - 8976326 (kostenloser Anruf)