DFN-CERT-2012-0729 Schwachstelle in TYPO3 [Linux][Debian][Fedora][Mandriva][RedHat][SuSE][Unix][AIX][FreeBSD][HP-UX][NetBSD][OpenBSD][Solaris][Windows]

DFN-CERT-2012-0729 Schwachstelle in TYPO3 [Linux][Debian][Fedora][Mandriva][RedHat][SuSE][Unix][AIX][FreeBSD][HP-UX][NetBSD][OpenBSD][Solaris][Windows]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

TYPO3 4.4.x vor 4.4.15
TYPO3 4.5.x vor 4.5.15
TYPO3 4.6.x vor 4.6.8

Betroffene Plattformen:

Alle Plattformen, auf denen TYPO3 lauffähig ist.

Eine Cross-Site Scripting Schwachstelle in TYPO3 ermöglicht einem entfernten
Angreifer beliebige HTML- oder Script-Befehle im Kontext des Browsers eines
Anwenders zur Ausführung zu bringen.

Software Upgrade:

Der Hersteller stellt eine neue Version der Software bereit.

http://typo3.org/download/

TYPO3-CORE-SA-2012-002: Cross-Site Scripting Schwachstelle in TYPO3

TYPO3 4.4.x vor Version 4.4.15, TYP03 4.5.x vor Version 4.5.15 und TYPO3
4.6.x vor Version 4.6.8 kodiert im “Exception Handler” bestimmte Ausgaben
fehlerhaft. Falls eine installierte TYPO3-Erweiterung das “Extbase MVC
Framework” verwendet, ist es einem entfernen Angreifer durch das
Bereitstellen eines präparierten Links möglich beliebige HTML- oder
Script-Befehle im Kontext des Browsers eines Anwenders zur Ausführung zu
bringen. Dies setzt voraus, dass der Anwender dazu gebracht werden kann, den
präparierten Link aufzurufen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2012-0729/

Das Hersteller Advisory:
http://typo3.org/teams/security/security-bulletins/typo3-core/typo3-core-sa-2012-002/

(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.

© COMPUTEC MEDIA GmbH
Nach oben