TYPO3-Scout

Über die TYPO3-Announce Mailingliste sind heute erneut 4 Security Bulletins veröffentlicht worden. Alle Sicherheitsmeldungen beziehen sich auf Extensions von Drittanbietern. Folgende Extensions sind betroffen:

phpmyadmin (phpmyadmin)

Typ: Cross Site Scripting
Gewichtung: Mittel
http://typo3.org/teams/security/security-bulletins/typo3-20080701-2/

Send-A-Card (sr_sendcard)

Typ: Insufficient Verification of Data Authenticity, Cross Site Scripting
Gewichtung: Mittel
http://typo3.org/teams/security/security-bulletins/typo3-20080701-3/

WEC Discussion Forum (wec_discussion)

Typ: Arbitrary Code Execution, Cross Site Scripting
Gewichtung: Mittel
http://typo3.org/teams/security/security-bulletins/typo3-20080701-4/

Collective Security Bulletin

Des weiteren wurde wieder eine zusammengefasste Meldung über meist auch schwerwiegende Sicherheitslücken in weniger verbreiteten Extensions gemeldet. Insgesamt wurden 12 Sicherheitsmeldungen veröffentlicht.

Die Sicherheit von weniger verbreiteten Extensions ist generell ein Problem bei TYPO3. Ich habe neulich 6 typische Frontend-Extensions geprüft und gleich 4 mit Schweren Sicherheitslücken und eine mit einer weniger schweren Sicherheitslücke gefunden. Nur eine erschien mir “sicher”.

In dem kolletivem Security-Bulletin ist von diesen Meldungen bisher jedoch nur eine enthalten. Alle weiteren stehen noch zur Bearbeitung aus. Welche Extensions das waren bleibt natürlich geheim, bis entsprechende Updates verfügbar sind. Aber ein Fazit kann durchaus schon jetzt gezogen werden: Niemals eine TYPO3-Extension blind installieren. Man sollte vor jeder Installation sich genau den Sourcecode ansehen, ob einschlägige Sicherheitsrichtlinien beachtet wurden.