对TYPO3 CMS 6.2 LTS和7.3的安全修复
Soeben wurden 6 Security Bulletins vom TYPO3 Security Team herausgegeben. Damit sind die TYPO3 Versionen 6.2.0 bis 6.2.13 sowie TYPO3 7.0.0 bis 7.3.0 als unsicher einzustufen. Schwachstellen im Core erlauben folgende Angriffszenarien: Cross-Site Scripting, Brute Force Protection Bypass, Information Disclosure, Session Fixation und Access Bypass.
Wir empfehlen die automatisierte Überwachung von TYPO3 Instanzen mit dem TYPO3 Monitor. Dieses Tool ist bei Brain Appeal seit über 5 Jahren im Einsatz und wird gerade erweitert, damit jeder das Tool nutzen kann. Kostenlose Accounts gibt’s auf Anfrage!
Links zu den Security Bulletins:
Access bypass when editing file metadata
Frontend login Session Fixation
Cross-Site Scripting exploitable by Editors
Information Disclosure possibility exploitable by Editors
Brute Force Protection Bypass in backend login
Cross-Site Scripting in 3rd party library Flowplayer
UPDATE 06.07.2015:
Auch für TYPO3 CMS 4.5 liegt ein Patch zum Beheben der Sicherheitslücken seit 01.07.2015 vor (TYPO3 4.5.41). Diesen Patch wir jedoch nur im Rahmen des Extended Long Term Support (ELTS) angeboten und ist kostenpflichtig.
Weitere Infos hierzu:
