Sicherheitslücken in mehreren TYPO3 Erweiterungen
Das TYPO3 Security Team hat am 28. und 29. September zwei Security Bulletins veröffentlich. Betroffen sind eine Reihe von TYPO3 Erweiterungen.
Im einzelnen sind die folgenden Erweiterungen von den Sicherheitslücken betroffen
- Blog (t3blog), Version 1.1.1 und früher
Problem: Cross Site Scripting
Risiko: mittel
Empfehlung: Update auf Version 1.1.2 - mg_rooms, Version 0.0.2 und früher
Problem: SQL Injection, Cross Site Scripting
Risiko: hoch
Empfehlung: der Autor hat keine neue Version zur Verfügung gestellt, daher Deinstallation der Extension und das Löschen des Ordners - Hut-Manager (mm_hutinfo), Version 1.0.0 und früher
Problem: SQL Injection
Risiko: hoch
Empfehlung: Update auf Version 1.0.1 - dev/null robots.txt (dev_null_robots), Version 1.0.2 und früher
Problem: SQL Injection
Risiko: hoch
Empfehlung: Update auf Version 1.0.2 oder höher - DAM Frontend (dam_frontend), Version 0.6.5 und früher
Problem: SQL Injection
Risiko: hoch
Empfehlung: Update auf Version 0.6.6 - RTG Files (rtg_files), Version 1.5.1 und früher
Problem: SQL Injection
Risiko: hoch
Empfehlung: Update auf Version 1.5.2 - TGM gallery (tgm_gallery), Version 0.0.2 und früher
Problem: SQL Injection
Risiko: hoch
Empfehlung: Update auf Version 0.0.3 oder Ersatz durch eine andere Extension, da der Autor diese Extension nicht weiterentwickelt - TGMVgallery (tgmv_gallery), Version 0.0.2 und früher
Problem: SQL Injection
Risiko: hoch
Empfehlung: Update auf Version 1.0.1 oder Ersatz durch eine andere Extension, da der Autor diese Extension nicht weiterentwickelt - Indexed Search Statistics (np_indexed_search_stat), Version 0.0.5 und früher
Problem: Cross Site Scripting
Risiko: mittel
Empfehlung: Update auf Version 0.0.6 - jQuery Colorbox (rzcolorbox), Version 1.3.5 und früher
Problem: Cross Site Scripting
Risiko: mittel
Empfehlung: Update auf Version 1.4.0 - T3C Podcasts (t3c_podcasts), Version 1.0.3
Problem: Verwendung von Funktionalität von einer nicht vertrauenswürdigen Seite
Empfehlung: der Autor hat keine neue Version zur Verfügung gestellt, daher Deinstallation der Extension und das Löschen des Ordners - winning_game (winning_game), Version 1.2.0 und früher
Problem: SQL Injection
Risiko: hoch
Empfehlung: der Autor hat keine neue Version zur Verfügung gestellt, daher Deinstallation der Extension und das Löschen des Ordners - Frontend Shibboleth Protection (bps_ship), Version 1.0.0 und früher
Problem: Umgehung der Authentifizierung
Risiko: hoch
Empfehlung: der Autor hat keine neue Version zur Verfügung gestellt, daher Deinstallation der Extension und das Löschen des Ordners - Inflation-Calculator (dhc_inflationcal), Version 1.0.0 und früher
Problem: Cross Site Scripting
Risiko: mittel
Empfehlung: der Autor hat keine neue Version zur Verfügung gestellt, daher Deinstallation der Extension und das Löschen des Ordners - Gridelelements (gridelements), Version 0.1.0 und früher
Problem: Cross Site Scripting
Risiko: mittel
Empfehlung: Update auf Version 0.2.0
- In Verbindung stehende Artikel:
Kritische Sicherheitslücken in 3 TYPO3 Erweiterungen - 20. Oktober 2011- Sicherheitsupdate für TYPO3 - 14. September 2011
- Security Updates für 4 TYPO3 Erweiterungen - 07. September 2011
- Security Updates für TYPO3 Extensions - 29. August 2011
- Security Update für Extensions veröffentlicht - 26. August 2011
- Security Releases TYPO3 Versionen 4.5.4, 4.4.9 und 4.3.12 - 27. Juli 2011
- TYPO3 Security: Extension CheckMySite verfügbar - 06. Juli 2011
