DFN-CERT-2014-0788 TYPO3: Mehrere Schwachstellen ermöglichen das Ausführen beliebigen Programmcodes [Linux][SuSE]

DFN-CERT-2014-0788 TYPO3: Mehrere Schwachstellen ermöglichen das Ausführen beliebigen Programmcodes [Linux][SuSE]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Typo3 <= 4.5.33 Betroffene Plattformen: openSUSE 12.3 openSUSE 13.1 Durch Ausnutzen der Schwachstellen kann ein entfernter, authentisierter Benutzer, als Angreifer beliebigen Programmcode oder Cross-site-Scripting-Angriffe ausführen oder ein entfernter, nicht authentisierter Angreifer "Host-Spoofing"-Angriffe durchführen. Patch: openSUSE Security Update: openSUSE-SU-2014:0813-1 http://lists.opensuse.org/opensuse-updates/2014-06/msg00037.html

CVE-2014-3943: Schwachstelle in TYPO3 erlaubt Cross-site-Scripting

Multiple Schwachstelle bestehen in nicht näher spezifizierten
Backend-Komponenten in TYPO3 4.5.0 bevor 4.5.34, 4.7.0 bevor 4.7.19, 6.0.0
bevor 6.0.14, 6.1.0 bevor 6.1.9 und 6.2.0 bevor 6.2.3. Diese Schwachstellen
erlauben einem entfernten, authentisierten Editor, als Angreifer, über
unbekannte Parameter, beliebige Webskripte oder HTML einzuschleusen.

CVE-2014-3942: Schwachstelle in TYPO3 erlaubt Ausführen von beliebigem
Programmcode

Eine Schwachstelle besteht in der “Color Picker Wizard”-Komponente in TYPO3
4.5.0 bevor 4.5.34, 4.7.0 bevor 4.7.19, 6.0.0 bevor 6.0.14 und 6.1.0 bevor
6.1.9. Die Schwachstelle erlaubt einem entfernten, authentisierten Editor,
als Angreifer, über serialisierte PHP-Objekte, beliebigen PHP-Programmcode
auszuführen.

CVE-2014-3941: Schwachstelle in TYPO3 erlaubt “Host Spoofing”

Eine Schwachstelle in TYPO3 4.5.0 bevor 4.5.34, 4.7.0 bevor 4.7.19, 6.0.0
bevor 6.0.14, 6.1.0 bevor 6.1.9 und 6.2.0 bevor 6.2.3 besteht darin, dass
HTTP Host-Header nicht korrekt validiert werden. Ein entfernter, nicht
authentisierter Angreifer kann diese Schwachstelle, mittels präparierter
HTTP Host-Header, ausnutzen, um diese auf beliebige Werte zu ändern, d.h.
“Host Spoofing”-Angriffe durchzuführen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2014-0788/

Schwachstelle CVE-2014-3941 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-3941

Schwachstelle CVE-2014-3942 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-3942

Schwachstelle CVE-2014-3943 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-3943

openSUSE Security Update: openSUSE-SU-2014:0813-1:
http://lists.opensuse.org/opensuse-updates/2014-06/msg00037.html

(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.

© COMPUTEC MEDIA GmbH
Nach oben