Sg. Kunden, CERT.at, das Computer Emergency Response Team Austria, hat die folgende Warnung im Zusammenhang mit dem CMS TYPO3 herausgegeben. Wir geben diese weiter, da auch eine große Zahl unserer Kunden dieses CMS für ihre Web-Auftritte nutzen. Sollten Sie Hilfe bei den notwendigen Maßnahmen benötigen, kontaktieren Sie bitte unseren support@kapper.net.
Um Warnungen des CERT direkt zu erhalten, tragen Sie sich bitte auf der Liste "Warning" des CERT ein: http://lists.cert.at/cgi-bin/mailman/listinfo/warning
6. März 2013
Angesichts der Schwere der Lücken und der hohen Anzahl an installierten TYPO3 Content Management Systemen bittet CERT.at um Beachtung der folgenden Hinweise.
Beschreibung
TYPO3 Core enthält Bugs, die zu SQL Injection und Open Redirection führen können.
SQL Injection in der Subkomponente Extbase Framework
Wegen unzureichender Behandlung von Benutzereingaben ist der Extbase Database Abstraction Layer anfällig für SQL Injection. TYPO3- Seiten, auf denen keine Extbase Extensions installiert sind, sind nicht betroffen. Wie dem TYPO3 Security Team berichtet wurde, wird die Schwachstelle bereits aktiv ausgenützt.
Open Redirection in der Subkomponente Access Tracking Mechanism
Aufgrund ungenügender Überprüfung von Benutzereingaben ermöglicht der Access Tracking Mechanism (Jumpurl Feature) Redirects zu beliebigen URLs.
Betroffene Systeme
Alle TYPO3-Installationen mit entsprechender Konfiguration bis einschließlich der Versionen * 4.5.23 * 4.6.16 * 4.7.8 * 6.0.2
Abhilfe
Upgrade auf die entsprechend angepassten Versionen * 4.5.24 * 4.6.17 * 4.7.9 * 6.0.3
best, support@kapper.net | der technische Dienst für Ihre Fragen und Wünsche.