Direkt zum Inhalt springen

17.10.2014 | Brain Appeal

TYPO3 Extension Calendar Base (cal) und fal_sftp anfällig für Denial of Service

Um Veranstaltungen in TYPO3 abzubilden gibt es einige wenige Extensions, die er Aufgabe gewachsen sind. Dazu zählt auch die Extension cal für die seit heute ein Security Update verfügbar ist.

Der Angriff ist möglich, weil Eingaben ohne Prüfung zur PHP’s PCRE Bibliothek weitergeleitet werden. Abhängig vom der Eingabe kann diese das zu einer großen Auslastung der Systemressourcen führen.

 

cal
Die Extension “cal” ist anfällig für Denial of Service. Sicherheitsrisiko: Medium Betrifft: alle Versionen von 0.x.x, 1.0.x, 1.1.x, 1.2.x, 1.3.x, 1.4.x; 1.5.8 und unterhalb von 1.5.x; 1.6.0 Lösung: Update auf Version 1.5.9 (für TYPO3 CMS 4.5.5 – 6.0.99) und 1.6.1 (für TYPO3 CMS 6.1.0 – 6.2.99)

Security Bulletin (englisch)

Download für TYPO3 CMS 6.1.0 – 6.2.99

Download für TYPO3 CMS 4.5.5 – 6.0.99

 

Mit der Version 6.2 wurde im TYPO3 Core der FAL (File Abstraction Layer) eingeführt, der mehrere Speicherplätze (vorstellbar als unterschiedliche Festplatten) verwalten können soll. Die Anbindung anderer Server über die PHP Extension ssh2 implementierte Protokolle FAL SFTP erfolgen. Hierzu gab es heute einen Sicherheitshinweis:

 

fal_sftp
Die Extension “fal_sftp” ist anfällig für Denial of Service. Sicherheitsrisiko: Medium Betrifft: alle Versionen von 0.2.4 und 0.2.5 Lösung: Update auf Version 0.2.6

zum Security Bulletin (englisch)

Download der aktuellen Version für TYPO3 CMS

 

UPDATE: Heute kam noch ein weiteres Sicherheits-Update für Dynamic Content Elements (dce) heraus.

 

dce
Die Extension “dce” ist anfällig für Datenschutz.

Sicherheitsrisiko: Niedrig

Betrifft: alle Versionen von 0.7.x, 0.8.x, 0.9.x, 0.10.x, 0.11.4 und vor 0.11.x

Lösung: Update auf Version 0.11.5

Security Bulletin (englisch)

Download der aktuellen Version für TYPO3 CMS