Sicherheitslücken in neuer Typo3 Version geschlossen
Verfasst: Fr 23. Okt 2009, 18:09Neun Sicherheitslücken wurden in den neuen Versionen 4.1.13, 4.2.10 und 4.3beta2 von Typo3 geschlossen. Die Sicherheitslücken ermöglichen Cross-Site-Scripting, SQL-Injection und die Möglichkeit Daten auszuspionieren.
Es wurde eine Lücke geschlossen, die es Redakteuren ermöglichte, durch hochgeladenen Dateien Befehle an die Shell des Systems zu übergeben und zu starten.
Allerdings musste der Redakteur angemeldet sein um diese Lücke auszunutzen. Die SQL-Injection war auch nur angemeldeten Nutzern möglich. Der Angriff funktionierte nur, wenn die Dateien über Add-Ons anderer Hersteller oder FTP hochgeladen wurden.
Downloads:
Typo3
Es wurde eine Lücke geschlossen, die es Redakteuren ermöglichte, durch hochgeladenen Dateien Befehle an die Shell des Systems zu übergeben und zu starten.
Allerdings musste der Redakteur angemeldet sein um diese Lücke auszunutzen. Die SQL-Injection war auch nur angemeldeten Nutzern möglich. Der Angriff funktionierte nur, wenn die Dateien über Add-Ons anderer Hersteller oder FTP hochgeladen wurden.
Downloads:
Typo3