Direkt zum Inhalt springen

22.10.2014 | Brain Appeal

Security Update bei 4.5 LTS, 4.7, 6.1 und 6.2 LTS wegen OpenID und Swiftmailer library

Für die aktuell unterstützten TYPO3 CMS Versionen sind Updates verfügbar. Diese beheben neben sicherheitsrelevanten Faktoren auch Fehler. Bereitgestellt wurden die Versionen 4.5.37 LTS, 4.7.20, 6.1.12 und 6.2.6 LTS.

 

OpenID
System Extension Die Subkomponente OpenID ermöglicht es Angreifern Dateien zu lesen, HTTP Aufrufe an Intranet-Server zu senden oder ein Denial of Service (CPU und Speicher) Angriff auszuführen.

Die angreifbaren Versionen sind durch das bereitgestellte Update zu schützen. Alternativ kann die OpenID System Extension auch deaktiviert werden, was jedoch nicht ausreichend scheint.

 

Swiftmailer library Extension
Die Subkomponente Swiftmailer library kann zu Angriffen genutzt werden, die Shell Kommandos über den „From“ Header ermöglichen. Betroffen TYPO3 Installationen wurden wie folgt konfiguriert:

$GLOBALS[‚TYPO3_CONF_VARS‘][‚MAIL‘][‚transport‘]

Installationen mir der Standard-Konfiguration sind nicht betroffen. Durch Update der Versionen aus dem TER oder der entsprechenden GIT Repositories wird TYPO3 wieder sicher.

 

Weitere Informationen:

Security Bulletin

Download der TYPO3 Pakete: