2017
08.09
TYPO3 – Schwachstelle in Repository

Einer offiziellen Sicherheitswarnung zufolge hätten Dritte dort seit dem 23. August unter gewissen Voraussetzungen Erweiterungen mit manipulierten Versionen ersetzen können. Mittlerweile soll das Schlupfloch geschlossen sein. Die Verantwortlichen hinter Typo3 geben an, die Checksummen (SHA-256) aller vor dem 22. 08.2017 hochgeladenen Erweiterungen überprüft zu haben. Bei diesen soll die Integrität laut den Ergebnissen gewahrt sein. Die 56 nach diesem Tag von Entwicklern zur Verfügung gestellten Erweiterungen hat das Typo3-Team vorsorglich als unsicher markiert – schlimmstenfalls könnten diese mit Schadcode verseucht sein. Die in der Sicherheitswarnung aufgezeigten Erweiterungen sollten Nutzer entweder löschen oder durch eine aktuelle Version ersetzen.

Die betroffenen Erweiterungen lauten:
advancedtitle (0.0.4, 0.0.5), aimeos (17.7.1), aimeos_pay (17.8.0, 17.8.1), aip_vimeo (8.7.3), aws_sdk_php (3.33.4, 3.34.0, 3.34.1, 3.34.2, 3.35.0, 3.35.1, 3.35.2), cart_pdf (1.3.0, 2.0.0, 2.0.1), cl_metatags (2.0.4), cookie_hint (1.0.0, 1.0.1, 1.0.2), cookie_question (0.1.0), datamints_feuser, (0.11.7, 0.11.8), div2007 (1.7.10), femanager (3.1.1), feusersmap (0.8.2), frp_form_answers (1.0.0, 1.0.1), go_maps_ext (2.3.0), hh_ckeditor_custom (0.1.1), ipm_cline (1.2.0), includekrexx (2.3.0), maps2 (2.9.0), my_user_management (3.3.0, 3.3.1, 3.3.2, 3.3.3), news (6.1.0), patchem (0.1.0), powermail (3.22.0), px_hybrid_auth (3.1.1), px_semantic (2.5.0), realurl_clearcache2 (1.0.0, 1.0.1, 2.0.0), recordsmanager (1.4.0), skfbalbums (0.0.1, 0.0.2), static_info_tables_pt (6.3.2), test_foo (0.1.0, 0.1.1), turn (0.1.1), url_redirect (1.1.0, 1.1.1), vhs (4.3.0), wfqbe (7.6.2)

zurück