Contao-News

Wir informieren Dich hier regelmäßig zu Updates, stellen Best-Practice-Arbeiten vor und berichten über Aktuelles aus dem Contaoversum.

Konsolidiertes Sicherheitsupdate

von

Anlässlich des Bekanntwerdens einer Remote Code Execution-Schwachstelle in der PDF-Exportfunktion wurde heute ein konsolidiertes Sicherheitsupdate für TYPOlight 2.6, 2.7 und 2.8 veröffentlicht. Die Schwachstelle kann nur unter bestimmten Voraussetzungen ausgenutzt werden und betrifft daher nicht alle Installationen. Trotzdem wird eine Aktualisierung unbedingt empfohlen.

Behobene Schwachstellen

Das konsolidierte Sicherheitsupdate behebt insgesamt vier Schwachstellen:

1. Kritische Sicherheitslücke im TYPOlight-Installtool

Diese im Dezember 2009 bekannt gewordene Sicherheitslücke betrifft alle TYPOlight-Installationen vor Version 2.7.6 und ist als äußerst kritisch einzustufen. Es existieren Patches für sämtliche Versionen ab TYPOlight 2.4, die unter allem Umständen eingespielt werden sollten.

2. Potentielle Request Forgery-Schwachstelle im Dateimanager

Diese potentielle Schwachstelle betrifft alle TYPOlight-Installationen vor Version 2.8.2. Ein konkreter Exploit liegt nicht vor, zudem wäre ein Angriff nur für angemeldete Backend-Benutzer möglich, was den Kreis der potentiellen Angreifer stark einschränkt.

3. Content Inclusion-Schwachstelle im Suchmodul

Diese Schwachstelle betrifft alle TYPOlight-Installationen vor Version 2.8.2, die das Suchmodul verwenden. Sie ermöglicht es, geschützte Artikel unter bestimmten Umständen über die Website-Suche einzusehen.

4. Remote Code Execution-Schwachstelle in der PDF-Exportfunktion

Diese Schwachstelle betrifft alle TYPOlight-Installationen ab Version 2.7 und vor Version 2.8.3, die die Funktion "PDF-Export" in Kombination mit der Kommentarfunktion verwenden. Die Kommentarfunktion allein oder die PDF-Exportfunktion allein sind nicht betroffen. Der Exploit ist zudem relativ offensichtlich und sollte beim Durchsehen der Kommentare auffallen.

Rückportierung der Änderungen

Sämtliche Schwachstellen sind in der aktuellen Version 2.8.3 behoben. Es wird aus Sicherheitsgründen dringend empfohlen, immer eine aktuelle TYPOlight-Version zu verwenden! In diesem Fall wurden die Änderungen zusätzlich rückportiert und die Versionen 2.7.7 und 2.6.8 veröffentlicht. Frühere TYPOlight-Versionen (2.5, 2.4 oder noch älter) sollten nicht mehr verwendet werden.

Alle Änderungen der Version 2.8.3

Eine Übersicht über alle Änderungen erhalten Sie im Ticket-System oder im Changelog.

Download des Release bei github.com.

Zurück zur News-Übersicht.

Kommentare

Einen Kommentar schreiben

Bitte addieren Sie 3 und 6.