Sicherheitslücken in sechs TYPO3 Erweiterungen

Das TYPO3 Security Team hat am 19. Dezember 2017 Security-Bulletins zu sechs TYPO3 Erweiterungen veröffentlicht. Die Sicherheitslücken betreffen nur Anwender, die eine dieser Extensions installiert hat.

Wie kann ich prüfen, ob eine der Extensions installiert ist?

Loggen Sie sich als Administrator in das TYPO3 Backend ein. Unter dem Menüpunkt "Erweiterungen" können Sie sich eine Liste der installierten Extensions zusammen mit der Versionsnummer anzeigen lassen.

Von den Sicherheitslücken sind folgende Extensions betroffen (Extension Key in Klammern):

Caretaker (caretaker) Version 0.8.0 und früher
Die Extension beinhaltet eine Cross-Site Scripting (XSS) Lücke, der Schweregrad wird als niedrig eingestuft. Link zum Security Bulletin
Empfehlung: Update auf Version 0.8.1

JobControl (dmmjobcontrol) Version 2.16.0 und früher
Die Extension enthält mehrere SQL-Injection und Cross-Site Scripting Lücken. Der Schweregrad wird als kritisch eingestuft. Link zum Security Bulletin
Empfehlung: Diese Extension wird nicht weiter gepflegt, es gibt kein Update. Es wird dringend empfohlen, die Extension aus der TYPO3 Installation zu entfernen. 

DRC News Comment (news_comment) Version 1.0.7 und früher
Die Extension ermöglicht es Angreifern, beliebigen Code auf dem Server auszuführen und enthält darüber hinaus eine Cross-Site Scripting Lücke. Der Schweregrad wird als kritisch eingestuft. Link zum Security Bulletin
Empfehlung: es wird dringend empfohlen, auf die Version 1.0.8 zu aktualisieren. 

Frontend User Registration (sf_register) Version 8.8.0
Die Sicherheitslücke ermöglicht es Front-End Usern, sich ohne Passwort einzuloggen. Der Schweregrad wird als kritisch eingestuft. Link zum Security Bulletin
Empfehung: es wird dringend empfohlen, auf die Version 8.8.1 zu aktualisieren 

Smallads (ke_smallads) Version 1.3.2 und früher
Die Sicherheitslücke ermöglicht Cross-Site Scripting (XSS). Der Schweregrad wird als mittel eignestuft.Link zum Security Bulletin
Empfehlung: Update auf Version 1.3.3 

Multishop (multishop) Version 5.0.0 und früher
Die Sicherheitslücke ermöglicht Cross-Site Scripting (XSS). Der Schweregrad wird als mittel eignestuft. Link zum Security Bulletin
Empfehlung: Update auf Version 5.0.1

Sicherheitslücken in TYPO3 Erweiterungen