Typo3: Neue Versionen beseitigen Sicherheitslücken
Laut einer Meldung der Sicherheitsexperten von Secunia treten die Sicherheitslücken in allen aktuellen Versionen 3.x und 4.x von Typo3 auf. Durch einen Fehler bei der Prüfung der Dateiendung können Angreifer beliebige Dateien mit mehreren Endungen, wie beispielsweise „file.php.1“ auf ein betroffenes System laden. Unter Umständen ist die Ausführung solcher Dateien und damit die Einspeisung von beliebigem Code in das betroffene System möglich. Die zweite Sicherheitslücke erlaubt die Einspeisung von HTML- und Scriptcode, der in der Browser-Sitzung anderer Typo3-Benutzer ausgeführt wird. Beide Sicherheitslücken werden in folgenden Versionen geschlossen: Typo3-Version 4.0.9, 4.1.7 und 4.2.1. Vom Einsatz von Version 3.x wird aufgrund der fehlenden Patches abgeraten. (vgw)