DFN-CERT-2015-1943 TYPO3: Mehrere Schwachstellen ermöglichen Cross-Site-Scripting-Angriffe [Linux][Unix][Solaris][Windows]

DFN-CERT-2015-1943 TYPO3: Mehrere Schwachstellen ermöglichen Cross-Site-Scripting-Angriffe [Linux][Unix][Solaris][Windows]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

TYPO3 >= 6.2.0
TYPO3 <= 6.2.15 TYPO3 >= 7.0.0
TYPO3 <= 7.6.0 Betroffene Plattformen: TYPO3 Mehrere Schwachstellen in den TYPO3 Versionen 6.2.0 bis 6.2.15 und 7.0.0 bis 7.6.0 ermöglichen einem entfernten, teilweise auch nicht authentifizierten Angreifer die Durchführung von verschiedenen Cross-Site-Scripting-Angriffen. Die Schwachstellen werden in den Versionen 6.2.16 und 7.6.1 vom Hersteller behoben. Patch: TYPO3 Security Advisory TYPO3-CORE-SA-2015-010 https://typo3.org/teams/security/security-bulletins/typo3-core/typo3-core-sa-2015-010/

Patch:

TYPO3 Security Advisory TYPO3-CORE-SA-2015-011

https://typo3.org/teams/security/security-bulletins/typo3-core/typo3-core-sa-2015-011/

Patch:

TYPO3 Security Advisory TYPO3-CORE-SA-2015-012

https://typo3.org/teams/security/security-bulletins/typo3-core/typo3-core-sa-2015-012/

Patch:

TYPO3 Security Advisory TYPO3-CORE-SA-2015-013

https://typo3.org/teams/security/security-bulletins/typo3-core/typo3-core-sa-2015-013/

Patch:

TYPO3 Security Advisory TYPO3-CORE-SA-2015-014

https://typo3.org/teams/security/security-bulletins/typo3-core/typo3-core-sa-2015-014/

Patch:

TYPO3 Security Advisory TYPO3-CORE-SA-2015-015

https://typo3.org/teams/security/security-bulletins/typo3-core/typo3-core-sa-2015-015/

TYPO3-CORE-SA-2015-015-1: Cross-Site-Scripting-Schwachstelle in TYPO3
Komponente Indexed Search

In der TYPO3 Komponente Indexed Search werden Benutzereingaben nicht
ordnungsgemäß kodiert, wodurch die Ansicht eines Suchergebnisses von
indexed_search anfällig für einen Cross-Site-Scripting-Angriff ist. Ein
entfernter, einfach authentifizierter Angreifer kann die Schwachstelle
ausnutzen, um beliebigen HTML-Code zu injizieren.

TYPO3-CORE-SA-2015-014-1: Cross-Site-Flashing-Schwachstelle in TYPO3

Der Flashplayer in TYPO3 versäumt es, übergebene Flash- und Image-Dateien zu
validieren, dadurch können Flash-Videos aus externen Quellen eingebunden
werden. Ein entfernter, nicht authentifizierter Angreifer kann einen
Cross-Site-Flashing-Angriff durchführen.

TYPO3-CORE-SA-2015-013-1: Cross-Site-Scripting-Schwachstellen in TYPO3
Frontend-Komponenten

In mehreren TYPO3 Frontend-Komponenten existieren Schwachstellen aufgrund
der unangemessenen Kodierung von Benutzereingaben. Ein entfernter, einfach
authentifizierter Benutzer, als Angreifer, kann die Schwachstellen
ausnutzen, um beliebigen HTML-Code einzuschleusen und somit einen
Cross-Site-Scripting-Angriff durchzuführen.

TYPO3-CORE-SA-2015-012-1: Cross-Site-Scripting-Schwachstelle in TYPO3

In TYPO3 sind alle Link-Felder anfällig für Cross-Site-Scripting-Angriffe,
da sie von einem entfernten, authentifizierten Benutzer, als Angreifer, zum
Injizieren von JavaScript-Befehlen verwendet werden können unter Verwendung
des URL Schemas “javascript:”.

TYPO3-CORE-SA-2015-011-1: Cross-Site-Scripting-Schwachstellen in TYPO3

In TYPO3 existieren mehrere Cross-Site-Scripting-Schwachstellen aufgrund der
unzureichenden Kodierung von Benutzereingaben. Ein entfernter,
authentifizierter Benutzer, als Angreifer, kann die Schwachstellen
ausnutzen, um beliebigen HTML- oder JavaScript-Code einzuschleusen.

TYPO3-CORE-SA-2015-010-1: Cross-Site-Scripting-Schwachstelle in TYPO3
Komponente Extension Manager

In der TYPO3 Komponente Extension Manager existiert eine
Cross-Site-Scripting-Schwachstelle, die auf der fehlerhaften Kodierung von
Extension Daten während einer Extension Installation beruht.
Ein entfernter, nicht authentifizierter Angreifer kann die Schwachstelle
ausnutzen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2015-1943/

TYPO3 Security Advisory TYPO3-CORE-SA-2015-010:
https://typo3.org/teams/security/security-bulletins/typo3-core/typo3-core-sa-2015-010/

TYPO3 Security Advisory TYPO3-CORE-SA-2015-011:
https://typo3.org/teams/security/security-bulletins/typo3-core/typo3-core-sa-2015-011/

TYPO3 Security Advisory TYPO3-CORE-SA-2015-012:
https://typo3.org/teams/security/security-bulletins/typo3-core/typo3-core-sa-2015-012/

TYPO3 Security Advisory TYPO3-CORE-SA-2015-013:
https://typo3.org/teams/security/security-bulletins/typo3-core/typo3-core-sa-2015-013/

TYPO3 Security Advisory TYPO3-CORE-SA-2015-014:
https://typo3.org/teams/security/security-bulletins/typo3-core/typo3-core-sa-2015-014/

TYPO3 Security Advisory TYPO3-CORE-SA-2015-015:
https://typo3.org/teams/security/security-bulletins/typo3-core/typo3-core-sa-2015-015/

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben