TYPO3 6.2.14 LTS und 7.3.1 erschienen

Aufgrund von entdeckten Sicherheitslücken sind neue Versionen des beliebten CMS erschienen.

Ein seltenes Ereignis: Gleich fünf Sicherheitslücken wurden im Typo3-Kern entdeckt und mit den neuen Versionen 6.2.14 und 7.3.1 behoben.

Falls Ihre Website  von web-xs gehostet wird wurden die Aktualisierungen bereits eingespielt.

Die Warnungen im Einzlnen

Berechtigungsumgehung bei Datei-Metadaten

Backendbenutzer können Datei-Metadaten manipulieren unabhängig davon, ob sie für diesen Filemount auch tatsächlich die Berechtigung zum Bearbeiten der Metadaten haben.

Schwachstelle in der Session Verwaltung

Hier wird ein wenig abstrakt, aber so wie die Meldung formuliert ist, ist es unter Zuhilfenahme von Cross-Site-Scripting möglich Frontendbenutzern eine Session unterzujubeln.

Cross-Site Verwundbarkeit durch RedakteurInnen

Durch eine fehlerhafte Kodierung von Formulardaten  ist der Typo3 Backend anfällig für Cross-Site-Scripting Angriffe.

Zugang zu  eigentlich nicht zugänglichen Informationen durch RedakteurInnen

Durch eine Sicherheitslücke war es für RedakteurInnen mit Zugriff auf das Modul "Dateiliste" möglich Dateien auf der obersten Ebene der Typo3-Installation auszulesen. Ein Verändern der Dateien war nicht möglich.

Der Brute Force Schutz beim Backend-Login konnte ausgehebelt werden

Normalerweise pausiert Typo3 fünf Sekunden falls die Anmeldedaten für das Backend verkehrt sind. Dies konnte umgangen werden. Durch das Beheben dieser Sicherheitslücke findet der Schutz vor Brute Force Angriffe nun auch bei den Frontend-Logins statt.