Geschrieben von GL, am 19-01-2010 12:31

Views 345

Typo3 kommt mit neuen Versionen für die ältere Reihe 4.2 und für die aktuelle Versionsreihe 4.3, welche Fehler und Sicherheitslöcher stopfen. 

Typo3 mit zwei neuen Versionen!

Die neueste Release aus der 4.2er-Reihe trägt die Versionsnummer 4.2.11 und beinhaltet nur Bugfixes. Zum Beispiel konnte man plötzlich und ohne ersichtlichen Grund aus dem Backend rausfliegen. Wenn die PHP-Option Safe-Mode aktiviert war, konnte die Bildgenerierung mit GraphicsMagick fehlschlagen und einiges mehr. Eine Übersicht zu allen gefixten Fehlern findet man in den Release Notes für Typo3 4.2.11.

Auch für die aktuelle Versionsreihe 4.3 gibt es ein Update. Die Version 4.3.1 beinhaltet ebenfalls Bugfixes, aber stopft auch einige als kritisch eingestufte Sicherheitslöcher. Eine Übersicht zu allen behobenen Fehlern findet man in den Release Notes für Typo3 4.3.1.

Ein Update wird aber vor allem wegen der Sicherheitsrisiken dringend empfohlen. Das Problem ist die Nutzung einer OpenID Identität, welche zu einem existierenden Backend-User-Account gehört. Damit wäre es jedem beliebigen Seitenbesucher möglich, sich in das Backend mit allen Rechten dieses Backend-Users einzuloggen. Allerdings kann hier nur was passieren, wenn die System-Erweiterung "openid" auch aktiviert ist und der Angreifer Kenntnis über die Identitäten der User-Accounts hat. Das Opfer muss dazu einen speziellen OpenID-Providertyp haben und Opfer wie auch Angreifer müssen Identitäten beim selben OpenID-Anbieter haben.

Normalerweise ist die Erweiterung OpenID deaktiviert und oben genannter Fall trifft auch nicht immer zu. Wer aber OpenID nutzt, sollte unbedingt Updaten und das Problem ist gelöst.

Es werden verschiedene Pakete zum Download angeboten. Hier geht es zu den Downloadpaketen für beide hier genannten Versionen.

Letztes Update: 19-01-2010 12:38

Benutzerkommentare (0)

Fügen Sie Ihren Kommentar hinzu