{"id":3508,"date":"2014-05-28T14:39:56","date_gmt":"2014-05-28T13:39:56","guid":{"rendered":"http:\/\/www.cms-content-migration.de\/?p=3508"},"modified":"2016-04-20T06:18:55","modified_gmt":"2016-04-20T04:18:55","slug":"typo3-schliesst-zahlreiche-sicherheitsloecher","status":"publish","type":"post","link":"https:\/\/www.media-deluxe.de\/blog\/2014\/05\/typo3-schliesst-zahlreiche-sicherheitsloecher\/","title":{"rendered":"TYPO3 schlie\u00dft zahlreiche Sicherheitsl\u00f6cher"},"content":{"rendered":"
\"Update<\/div>\n
TYPO3 CMS schlie\u00dft mit den Wartungs- und Sicherheits-Releases 4.5.34, 4.7.19, 6.0.14, 6.1.9 und 6.2.3 zahlreiche Sicherheitsl\u00f6cher. Mit einem routinem\u00e4\u00dfigen Einspielen der Updates ist es jedoch diesmal nicht getan, die Aktualisierung ben\u00f6tigt besondere Aufmerksamkeit! <\/strong><\/div>\n

Host-Spoofing<\/h2>\n

In den Versionen 4.5.0 bis 4.5.33, 4.7.0 bis 4.7.18, 6.0.0 bis 6.0.13, 6.1.0 bis 6.1.8 und 6.2.0 bis 6.2.2 wurde eine Host-Spoofing-Schwachstelle entdeckt, zu deren Behebung – je nach Server – eventuell Handarbeit n\u00f6tig ist. TYPO3 warnt davor, dass ein einfaches Einspielen der Updates unter Umst\u00e4nden nicht ausreichend ist.<\/p>\n

Der von TYPO3 vorgeschlagene CVSS<\/a> v2.0: AV:N\/AC:M\/Au:N\/C:N\/I:P\/A:N\/E:F\/RL:O\/RC:C (was einen Base Score von 4.3 [medium] ergibt).<\/p>\n

Weitere Schwachstellen<\/h2>\n

Im Color Picker Wizard wurde eine unsichere Deserialisierung gefunden, im Backend und in ExtJS Cross-Site Scripting-Schwachstellen, in Authentication eine unzureichende Zerst\u00f6rung der Session sowie eine M\u00f6glichkeit zur Umgehung der Authentifizierung, und ein Fehler in Extbase Framework kann zur unerw\u00fcnschten Freigabe von Informationen f\u00fchren.<\/p>\n

\n

Weiterf\u00fchrende Links<\/h3>\n