Sicherheitslücken in TYPO3-Erweiterungen « Blog von Mittwald CM Service

Gleich geht´s los zur Contao Konferenz 2012. Wir freuen uns auf eine spannende Zeit. #ck2012
#Fluxkompensator in #TYPO3 6.0? ;-) Die Neuerungen der kommenden Version im Blog: http://t.co/X16TenKq
Hört Ihr Musik auf der Arbeit? Wenn ja, was? Vielleicht ist ja noch ein Geheimtipp dabei! :-) http://t.co/p3FmuolO
Alle Tweets von Mittwald CM Service lesen...

Posting tweet...

Mittwald Blog

Interessantes und Neues aus der Welt der CMS, des Webhostings, des E-Commerce und dem WWW.

Der Blog von Mittwald CM Service mit aktuellen News zu TYPO3, Magento, Joomla und vielem mehr.

Sie befinden sich hier: Blog » CMS » Sicherheitslücken in TYPO3-Erweiterungen

Sep 2010

Sicherheitslücken in TYPO3-Erweiterungen

Kategorie: CMS | Autor: Mirko Kaufmann

Das TYPO3-Securityteam hat heute einen kollektiven Sicherheitsbericht zu mehreren TYPO3-Erweiterungen veröffentlicht. Für einen Teil der Extensions stehen bereits aktualisierte Versionen bereit. Zwei der Erweiterungen sollten aus Sicherheitsgründen vorerst deinstalliert werden.

Folgende TYPO3-Erweiterungen weisen in den bislang veröffentlichten Versionen zum Teil kritische Sicherheitslücken auf:

Commenting system Backend Module (commentsbe): Ein Backend-Modul für Kommentare.
Tiny Market (hm_tinymarket): Marktplatz für Frontend-Nutzer.
Yet Another Calendar (ke_yac): Stark konfigurierbares Kalender-Tool mit vielen Funktionen.
The official twitter tweet button for your page (tweetbutton): Ermöglicht die Integration des offiziellen Twitter Tweet-Buttons.
XING Button (xing): Integriert den offiziellen XING-Button auf einer TYPO3Webseite.

Welche Sicherheitsprobleme treten bei den Extensions auf?

Bei Commenting system Backend Module (commentsbe), Tiny Market (hm_tinymarket) und Yet Another Calendar (ke_yac) kann es zu einer SQL-Injection kommen. D. h. Angreifer können unter bestimmten Umständen Zugriff auf die TYPO3-Datenbank erlangen und eigene Datenbankbefehle einschleusen. Daten können so möglicherweise ausgespäht, verändert oder gelöscht werden.

Tiny Market (hm_tinymarket) ist außerdem von einer möglichen Arbitrary Code Execution betroffen, d. h. hier kann eventuell beliebiger Code ausgeführt werden.

Schwächen im Bereich Cross-Site Scripting weisen Yet Another Calendar (ke_yac), The official twitter tweet button for your page (tweetbutton) und XING Button (xing) auf. Die Erweiterungen nehmen hierbei Daten an, ohne deren Inhalt zu prüfen. Durch eingeschleusten Programmcode können unbekannte Skripte im Browser des Benutzers ausgeführt werden.

Empfehlung zum weiteren Vorgehen mit den genannten Extensions

Für Yet Another Calendar (ke_yac), The official twitter tweet button for your page (tweetbutton) und XING Button (xing) stehen bereits neue Versionen zur Verfügung, die im TYPO3-Repository heruntergeladen werden können. Bitte aktualisieren Sie daher Ihre Anwendungen. Da die Sicherheitslücke der Erweiterung Yet Another Calendar (ke_yac) durch das TYPO3-Securityteam als kritisch eingestuft wurde, empfehlen wir ein zeitnahes Update. Eine ausführliche Anleitung zum Aktualisieren einer TYPO3-Erweiterung erhalten Sie hier.

Commenting system Backend Module (commentsbe) und Tiny Market (hm_tinymarket) sollten vorsichtshalber deinstalliert werden, da deren Sicherheitslücken durch das TYPO3-Securityteam als hoch eingestuft wurden und noch kein Sicherheitsupdate von Seiten der Entwickler vorliegt. Bitte entfernen Sie deswegen den vollständigen Extensioncode beider Erweiterungen aus Ihren TYPO3-Installationen!

Alle offiziellen Informationen des TYPO3-Securityteams können Sie hier in englischer Sprache nachlesen.

Update (28. September 2010):

Wie vom Entwickler bekanntgegeben, steht ab sofort auch ein Security Fix für die Erweiterung commentsbe unter bereit.

Kommentieren 4

Twittern 0

Teilen 0

Alle Kommentare zu diesem Artikel

RSS-Feed zu diesem Beitrag

Raphael Zschorsch
am 27. September 2010 um 21:13

Für die Extension “commentsbe” steht nun auch ein Security Fix bereit: http://typo3.org/extensions/repository/view/commentsbe/current/

Kristina Dahl
am 2. September 2010 um 17:50

@Anonymous:

Die folgende kurze Anleitung gilt für TYPO3 4.4.x, bei älteren Versionen können die Bezeichnungen von Menüpunkten eventuell etwas abweichen.

1. Loggen Sie sich als Admin ein.
2. Unter Adminwerkzeuge rufen Sie nun den Erweiterungsmanager auf.
3. In der Drop-Down-Liste jetzt auf “Erweiterungen installieren” klicken.
4. Wählen Sie die zu deinstallierende Erweiterung aus.
5. In der oben angezeigten Drop-Down-Liste wählen Sie “Sichern/Löschen” aus.
6. Klicken Sie jetzt auf den Link “Erweiterung vom Server entfernen”
7. Bestätigen Sie die Sicherheitsfrage.

Damit wird die Erweiterung aus Ihrer Installation gelöscht. Ich hoffe, ich konnte Ihnen weiterhelfen!
Wir werden zu diesem Thema auch noch einen ausführlicheren Beitrag (mit Screenshots) hier im Blog verfassen.

Blaumeister
am 2. September 2010 um 16:42

Danke für die superschnelle Info! Ihr seit einfach nicht zu toppen!

Anonymous
am 2. September 2010 um 16:40

vielen dank für die anleitung zum updaten von extensions. was muss ich beachten, wenn ich eine extension löschen will? sie schreiben, ich muss den code vollständig entfernen. können sie mir hier kurz weiterhelfen? vielen dank!

Kategorien

Blog durchsuchen

Aktuelle Tweets