Hoch kritische Schwachstellen in Typo3 ausgebessert

Die Sicherheitslücken lassen sich für Hijacking, Umgehung der Sicherheitsrichtlinien, Cross-Site Scripting und unerlaubten Systemzugriff ausnutzen. Insgesamt ist die Software von fünf Schwachstellen geplagt. Das zufällig generierte „Seed“ der Verschlüsselung sei nicht ausreichend. Somit ergebe sich hier ein Schwachpunkt, den Angreifer ausnutzen könnten. Die Authentication-Bibliothek entwertet Session-Tokens nicht sauber. Somit könnte sich die Sitzung eines Anwenders übernehmen lassen. Bestimmte Eingaben in die „Index Search Engine“ überprüft Typo3 nicht ausreichend. Dadurch könnten sich beliebige Shell-Befehle ausführen lassen.

Ein weiterer Fehler im Zusammenhang mit der Suchmaschine für den Index könnte sich missbrauchen lassen, um beliebigen HTML- oder Script-Code in der Browser-Sitzung eines Anwenders ausführen zu können. Ein ähnlicher Fehler knechtet auch das Workspace-Modul. Betroffen sind die Versionen 4.0.0 bis 4.0.9, 4.1.0 bis 4.1.7 und 4.2.0 bis 4.2.3. Die Entwickler empfehlen Updates auf 4.0.10, 4.1.8 oder 4.2.4. Danach müsse man einen neuen Schlüssel erzeugen. (jdo)