Nach dem ersten TYPO3 BugDay am Freitag gibt es jetzt die erste Ladung Bugfixes:

phpmyadmin

sr_sendcard

wec_discussion

Sowie Bugfixes für 12 weitere Extensions zusammengefasst als CSB (Collective Security Bulletin)

Am Freitag (27.06) wird der erste TYPO3 Bug Day stattfinden, der vor 2 Tagen von Ingo Renner ausgerufen wurde. An diesem Tag sollen möglichst viele Bugs aus dem Tracker gefixt werden. Dazu können noch bis Freitag Bugs von allen Interessierten mit dem Tag “bugday” markiert werden.

Da sich mit der immer weiter steigenden Popularität von TYPO3 und dem gestiegenen Sicherheitsbewusstsein der Anwender die gefundenen Sicherheitslücken in Extensions häufen werden viele dieser Lücken ab sofort in sogenannten Collective Security Bulletins veröffentlicht. (siehe Erläuterung von Lars Houmark)

Im ersten CSB sind insgesamt 13 Extensions mit ihren Lücken vertreten. Dabei handelt es sich um folgende Extensions:Frontend Filemanager (air_filemanager)

• CoolURI (cooluri)
• DCD GoogleMap (dcdgooglemap)
• JobControl (dmmjobcontrol)
• nepa-design.de Spam Protection (nd_antispam)
• Diocese of Portsmouth Calendar Today (pd_calendar_today)
• Diocese of Portsmouth Training Courses (pd_trainingcourses)
• Download system (sb_downloader)
• Random Prayer (ste_prayer)
• TIMTAB - social bookmark icons (timtab_sociable)
• Resource Library (tjs_reslib)
• Fussballtippspiel (toto)
• TARGET-E WorldCup Bets (worldcup)

Die Details zu den Sicherheitslücken gibt es im oben erwähnten CSB.

Es wurden zwei Sicherheitslücken in TYPO3 entdeckt. Die erste befindet sich in der fe_adminlib.inc und bietet dem Angreifer die Möglichkeit zum Cross Site Scripting. Allerdings ist die Lücke nur aktiv, wenn die Library auch verwendet wird (z.B. bei der Extension direct_mail_subscription der Fall).

Auch die zweite Lücke ermöglich Cross Site Scripting und ist auf dem Buzz-Blog genauer erläutert.

Aufgrund der gefundenen Lücken wurden gleich 3 neue Versionen von TYPO3 veröffentlicht:

• Versionen 4.2.1 und 4.1.7
• Version 4.0.9

(via TYPO3Blogger)

In der Extension “Library for Frontend plugins” (sg_zfelib) wurde von Philipp Rocholl und Wassim Amouri die Möglichkeit zur Einschleusung von SQL-Code gefunden. Dadurch kann ein Angreifer Lese-Zugriff auf die Datenbank erlangen. Das Risiko ist daher als hoch eingestuft.

Durch einen Fix des Autors der Extension Stefan Geith konnte die Lücke in der neuesten Version geschlossen werden. Es wird dringend empfohlen auf die Version 1.1.513 zu updaten.

Da zahlreiche Extensions (sg_newsplus, sg_address, sg_avmedia, sg_event, sg_genealogy, sg_glossary, sg_newsletter, sg_prodprom, sg_smallads, sg_userdata, sg_filelist, sg_dictionary) die sg_zfelib-Extension verwenden sollte auch dann ein Update gefahren werden.

Michael Raberger hat in der Extension “KJ: Image Lightbox v2″ (kj_imagelightbox2) eine XSS-Lücke entdeckt. Die Lücke wurde im Security Bulletin als mittel schwere Sicherheitslücke eingestuft. Betroffen ist die Version 1.4.2 und potentiell auch alle voherigen Versionen. Daher ist ein Update auf die neueste Version angeraten, in der die Lücke nicht mehr vorhanden ist.

Auch gestern gab es wieder Fixes für Sicherheitslücken in 2 TYPO3-Extensions. Betroffen sind diesmal die weit verbreitete sr_feuser_register, die eine FrontEnd-User-Registrierung ermöglicht, sowie die Extension air_filemanager.

Bei beiden Extensions gibt es in der ungepatchten Version XSS und Remote Code Execution Lücken. Beide sind als kritisch zu bewerten, ein Update der Extensions ist also dringend empfohlen!

Weitere Details gibt es in den entsprechenden Security Bulletins:
- sr_feuser_register
- air_filemanager

Nach dem bereits letztens in zwei Extensions XSS-Lücken entdeckt wurden sind jetzt gleich 4 Extensions betroffen:

WT Gallery (wt_gallery) - XSS & Path Traversal

Questionaire (pbsurvey) - XSS

Event Database (rlmp_eventdb) - XSS

Statistics (ke_stats) - Blind SQL Injection & XSS

Natürlich sind Sicherheitslücken nie gut, aber es ist doch erfreulich, dass sie wenigstens gefunden werden!

In den zwei TYPO3 Extensions th_mailformplus und powermail wurden Cross Site Scripting Lücken gefunden, die zumindest im Fall von th_mailformplus das Ausführen von Schadcode ermöglichen. Es wird daher dringend empfohlen die neueste Version dieser Extensions mit den geschlossenen Lücken zu verwenden.

Weitere Details gibt es in den Security Bulletins des Security Teams zu der Lücke in th_mailformplus und powermail.

Auf den Downloadseiten von TYPO3 ist nun die neueste "stable" Version 4.1.6 verfügbar. Dieses Release enthält ausschließlich Fehlerbehebungen.
Unter anderem wurde Database-Abstract-Layer- (DBAL-) Kompatibilität für das Backendmodul der Indexsuche eingeführt, außerdem ist nun sichergestellt, dass das auf der Kommandozeile ausführbare Script cli_dispatch.phpsh (das zum Anstoßen des Indexsuche-Crawlers oder für Cleanup-Tools verwendet werden kann) nun problemlos auch auf Windows-Umgebungen lauffähig ist.

Für das Update sind keine Datenbankänderungen nötig, sofern man die Version 4.1.5 als Grundlage verwendet. Falls eine oder mehrere Versionen übersprungen wurden, sollte man den Upgrade Guide im TYPO3Wiki zu Rate ziehen.

Detaillierte Informationen über dieses Release gibt’s im TYPO3Wiki.