Mittwald Blog
News für Agenturen, Freelancer und Unternehmen

Erfahren Sie Neues, Hilfreiches und Interessantes zu den Themen Webhosting, CMS, E-Commerce, Webentwicklung und dem Unternehmen Mittwald!

In insgesamt 15 TYPO3-Extensions wurden durch das TYPO3-Securityteam Sicherheitsprobleme festgestellt. Allerdings handelte es sich bei den betroffenen Extensions um Anwendungen mit einer eher geringen Nutzerrate.

Auch Nutzer von eher unbekannteren Erweiterungen möchten allerdings vom Mittwald Infoservice über die Sicherheitsprobleme informiert werden oder automatische Sicherheitspatches erhalten.

In einigen Fällen konnten wir einen automatisierten Patch einspielen, um die jeweiligen Schwachstellen sofort zu schließen. Für einige Extensions gibt es allerdings auch keine Updates, da diese vom Entwickler nicht mehr gepflegt werden. In diesem Fall solltet Ihr die Erweiterung entfernen.

Ob Ihr automatische Updates oder Patches erhalten möchtet, könnt Ihr im Mittwald Sicherheitscenter einstellen. Benachrichtigungen zu diesen und anderen Themen könnt Ihr im Kundencenter, im Reiter “Vertragsdaten” unter “Informationscenter”,  aktivieren oder deaktivieren.

Die betroffenen TYPO3-Extensions

Zu vielen der betroffenen TYPO3-Erweiterungen gibt es bereits fehlerbereinigte Versionen. Bei einigen Extensions rät das TYPO3-Securityteam, diese so schnell wie möglich zu löschen, da von den Entwicklern keine neue Version bereitgestellt wurde. Wir haben die Erweiterungen an dieser Stelle noch einmal für Euch aufgelistet und um die jeweiligen Empfehlungen des TYPO3 -Securityteams ergänzt.

  • Kitchen recipe (mv_cooking)

    • sehr kritische Sicherheitslücke
    • betroffen sind alle Versionen bis 0.4.0
    • angreifbar durch SQL-Injection
    • Empfehlung: Update auf Version 04.1
  • Category-System (toi_category)

    • sehr kritische Sicherheitslücke
    • betroffen sind alle Versionen bis 0.6.0
    • angreifbar durch SQL-Injection und Cross-Site Scripting
    • Empfehlung: Erweiterung entfernen!
  • White Papers (mm_whtppr)

    • sehr kritische Sicherheitslücke
    • betroffen sind alle Versionen bis 0.0.4
    • angreifbar durch SQL-Injection
    • Empfehlung: Erweiterung entfernen!
  • Documents download (rtg_files)

    • kritische Sicherheitslücke
    • betroffen sind alle Versionen bis 1.5.1
    • angreifbar durch SQL-Injection und Cross-Site-Scripting
    • Empfehlung: Update auf Version 1.5.2
  • Post data records to facebook (bc_post2facebook)

    • kritische Sicherheitslücke
    • betroffen sind alle Versionen bis 0.2.1
    • angreifbar durch SQL-Injection und Cross-Site-Scripting
    • Empfehlung: Update auf Version 0.2.2
  • System Utilities (sysutils)

    • kritische Sicherheitslücke
    • betroffen sind alle Versionen bis 1.0.3
    • angreifbar durch Information Disclosure
    • Empfehlung: Update auf Version 1.0.4
  • Webservices for TYPO3 (typo3_webservice)

    • kritische Sicherheitslücken
    • betroffen sind alle Versionen bis 0.3.7
    • angreifbar durch Arbitrary Code Execution
    • Empfehlung: Update auf Version 0.3.8
  • CSS styled Filelinks (css_filelinks)

    • Sicherheitslücke
    • betroffen sind alle Versionen bis 0.2.18
    • angreifbar durch Cross-Site-Scripting
    • Empfehlung: Update auf Version 0.2.19
  • Modern FAQ (irfaq)

    • Sicherheitslücke
    • betroffen sind alle Versionen bis 1.1.2
    • angreifbar durch Cross-Site Scripting und Open Redirection
    • Empfehlung: Update auf Version 1.1.4
  • Euro Calculator (skt_eurocalc)

    • Sicherheitslücke
    • betroffen sind alle Versionen bis 0.0.1
    • angreifbar durch Cross-Site Scripting
    • Empfehlung: Erweiterung entfernen!
  • Yet another Google search (ya_googlesearch)

    • Sicherheitslücke
    • betroffen sind alle Versionen bis 0.3.9
    • angreifbar durch Cross-Site Scripting
    • Empfehlung: Update auf Version 0.3.10
  • Terminal PHP Shell (terminal)

    • Sicherheitslücke
    • betroffen ist Version 0.3.2
    • angreifbar durch Cross-Site Scripting und Cross Site Request Forgery
    • Empfehlung: Erweiterung entfernen!
  • BE User Switch (beuserswitch)

    • Sicherheitslücke
    • betroffen ist Version 0.0.1
    • angreifbar durch Cross-Site Scripting und Information Disclosure
    • Empfehlung: Erweiterung entfernen!
  • Additional TCA Forms (jftcaforms)

    • Sicherheitslücke
    • betroffen sind alle Versionen bis 0.2.0
    • angreifbar durch Cross-Site Scripting
    • Empfehlung: Update auf Version 0.2.1
  • UrlTool (aeurltool)

    • Sicherheitslücke
    • betroffen ist Version 0.1.0
    • angreifbar durch Cross-Site Scripting
    • Empfehlung: Erweiterung entfernen!

Hier geht es zum offiziellen Security Bulletin.

Alle Kommentare zu diesem Artikel

avatarPhilipp
am 2. Februar 2012 um 17:07

Wieder mal super Service mit dem automatischen Einspielen der Sicherheitspatches. Herzlichen Dank!

Fragen oder Ergänzungen? Wir freuen uns über Feedback!

Die E-Mail Adresse wird nicht veröffentlicht.