Zwei gefährliche Sicherheitslücken bei realurl und sf_register – bitte updaten!

Denial of Service bei realurl und Arbitrary Code Execution bei sf_register – Benutzer werden gebeten, schnellstmöglich zu den aktuellsten Versionen zu wechseln.

Wie Ihr vielleicht schon gelesen habt, gibt es bei zwei Extensions aktuell Sicherheitsprobleme. Falls Ihr realurl oder sf_register nutzt, holt Euch bitte schnell die aktuellste Version, um die Sicherheitslücke zu schließen.

Denial of Service bei „Speaking URLs for TYPO3“

 

Am vergangenen Donnerstag hat die TYPO3 Association die Information veröffentlicht, dass die Versionen 2.0.0 bis 2.0.14 der beliebten Extension „Speaking URLs for TYPO3" (realurl) gefährdet sind, Opfer von Denial of Service Attacken zu werden. Die Gefahr wird als „medium“ eingestuft – Resultat kann sein, dass die betroffene TYPO3-Seite nicht mehr reagiert. Nähere Informationen findet Ihr hier. Es wird dringend empfohlen, auf die Version 2.0.15 upzudaten, in der dieses Problem behoben wird. Hier gibt es die neue Version. 

Arbitraty Code Execution bei „Frontend User Registration“

 

Noch wichtiger ist ein Update für Benutzer der Extension "Frontend User Registration" (sf_register). Alle Versionen bis 6.2.8 leiden hier unter einer Sicherheitslücke, deren Gefahr als „hoch“ eingestuft wurde. Der Dateityp von Profilbildern, die bei dieser Extension eingebunden werden können, wird nicht überprüft. Deshalb kann ein Angreifer hier auch PHP-Dateien hochladen und im schlimmsten Fall beliebige Codes ausführen. Nähere Informationen gibt es hier. Falls Ihr diese Extension nutzt, wechselt bitte dringend zur Version 6.2.9, bei der das Problem gelöst wurde.

Vielen Dank auch von uns an die Entdecker dieser Sicherheitslücken. Wenn Ihr weitere Infos zu Sicherheitsproblemen immer gleich per Mail bekommen wollt, schreibt Euch am besten in die TYPO3-Announce Mailing List ein. Falls Ihr selbst einmal eine Sicherheitslücke in einer TYPO3-Extension entdecken solltet, meldet sie bitte sofort dem Security-Team und veröffentlicht sie nirgends, bis das Team eine Lösung entwickelt hat.

Vielen Dank an alle, die TYPO3 sicher machen und ständig weiterentwickeln!