Kritische Sicherheitslücken in Extensions

In insgesamt 3 TYPO3-Extensions wurden kritische Sicherheitslücken gefunden. Dabei handelt es sich um fehlende Validierung von Benutzereingaben, die für SQL-Injections genutzt werden kann.

Betroffen sind die Extensions “pmk_rssnewsexport”, “cm_rdfexport” und “de_phpot”. Alle 3 Extensions wurden aus dem offiziellen Repository gelöscht. Die Funktionalität, die die beiden erst genannten Extensions geliefert haben, wird jedoch inzwischen durch die Extension “tt_news” geboten. Im Rahmen der Löschung der “de_phpot”-Extension wurde auch die darauf aufsetzende Extension “de_phpot_webbug” gelöscht.

Da solche eigentlich vermeidbaren Sicherheitslücken in TYPO3-Extensions, aber auch generell in Webapplikationen auftauchen sei an dieser Stelle einmal auf ein Paper des BSI verwiesen, in dem die wichtigsten Maßnahmen zur Sicherung von Webapplikationen vorgestellt werden.

(via t3n)

  • Digg
  • del.icio.us
  • Netvouz
  • description
  • ThisNext
  • MisterWong
  • Wists
  • BlinkList
  • StumbleUpon

Geschrieben am Mittwoch, 16. April 2008 von Sebastian und abgelegt unter General. Verfolgen Sie die Diskussion zu diesem Beitrag per RSS 2.0 Feed. Sie können diesen Beitrag kommentieren oder einen Trackback von Ihrer eigenen Webseite setzen.

 
« Session-Plan für T3DD08
Eclipse-Entwicklungsumgebung für TYPO3/FLOW3 in Entwicklung »
 
 

Kommentar schreiben