TYPO3-Scout

Heute morgen wurden gleich mehrere Sicherheitslücken in verschiedenen TYPO3-Extensions veröffentlicht. Auf der TYPO3-announce Mailingliste wurde eine  “Collective Security Bulletin” Mail (TYPO3-20080619-1) veröffentlicht, wo in gesammelter Form vor den gefundenen Sicherheitslücken in weniger populären Extensions gewarnt wird. Lars Houmark, der Author, weist aber darauf hin, dass es bei relevanteren Sicherheitslücken in weit verbreiteten Extensions oder gar der TYPO3-Core weiterhin eine Mail pro Sicherheitslücke geben wird.

Folgende Dritt-Anbieter-Extensions sind betroffen:

• Frontend Filemanager (air_filemanager) <=0.6.1
  Typ: Schadcodeausführung auf dem Apache Webserver
  Gewichtung: hoch
  Lösung: Updade auf Version 0.6.2
• CoolURI (cooluri) <= 1.0.11
  Typ: SQL-Injection
  Gewichtung: hoch
  Lösung: Update auf Version 1.0.12
• DCD GoogleMap (dcdgooglemap) <= 1.1.0
  Typ: Cross Site Scripting (XSS)
  Gewichtung: mittel
  Lösung: Update auf Version 1.1.1
• JobControl (dmmjobcontrol)  <= 1.15.0
  Typ: SQL Injection, Cross Site Scripting
  Gewichtung: hoch
  Lösung: Update auf Version 1.15.1
• nepa-design.de Spam Protection (nd_antispam) <= 1.0.3
  Typ: Einstellungen von extern änderbar
  Gewichtung: niedirg
  Lösung: keine, Extension deinstallieren oder Schwachstelle selbst beheben. Die Extension wurde aus dem TYPO3 Extension Repository entfernt.
• Diocese of Portsmouth Calendar Today (pd_calendar_today) <= 0.0.3
  Typ: SQL Injection
  Gewichtung: hoch
  Lösung: keine, Extension deinstallieren oder Schwachstelle selbst beheben. Die Extension wurde aus dem TYPO3 Extension Repository entfernt.
• Diocese of Portsmouth Training Courses (pd_trainingcourses) <= 0.1.1
  Typ: SQL Injection
  Gewichtung: hoch
  Lösung: keine, Extension deinstallieren oder Schwachstelle selbst beheben. Die Extension wurde aus dem TYPO3 Extension Repository entfernt.
• Download system (sb_downloader) <= 0.1.4
  Typ: SQL Injection
  Gewichtung: hoch
  Lösung: Update auf Version 0.1.5
• Random Prayer (ste_prayer) <= 0.0.2
  Typ: SQL Injection
  Gewichtung: hoch
  Lösung: keine, Extension deinstallieren oder Schwachstelle selbst beheben. Die Extension wurde aus dem TYPO3 Extension Repository entfernt.
• TIMTAB – social bookmark icons (timtab_sociable) <= 2.0.4
  Typ: SQL Injection
  Gewichtung: hoch
  Lösung: Update auf Version 2.0.5
• Resource Library (tjs_reslib) <= 0.1.0
  Typ: Cross Site Scripting (XSS)
  Gewichtung: mittel
  Lösung: keine, Extension deinstallieren oder Schwachstelle selbst beheben. Die Extension wurde aus dem TYPO3 Extension Repository entfernt.
• Fussballtippspiel (toto) <= 0.1.1
  Typ: SQL Injection
  Gewichtung: hoch
  Lösung: Update auf Version 0.1.2
• TARGET-E WorldCup Bets (worldcup) <= 2.0.0
  Typ: SQL Injection, Cross Site Scripting (XSS)
  Gewichtung: hoch
  Lösung: Update auf Version 2.0.1