Nieuwe TYPO3 versies verhelpen veiligheidslekken

Nieuwe TYPO3 versies verhelpen veiligheidslekken

Door: ben van 't ende

Vandaag zijn updates uitgekomen van alle 4.x versies van TYPO3. Dit was nodig omdat diverse lekken in de TYPO3 core gevonden zijn. De nieuwe versies verhelpen niet alleen deze lekken, maar maken ook de ondersteuning voor de backend in Firefox 3 mogelijk.

Twee veiligheidslekken in de core maakten het arbitrair uitvoeren van code op de Apache webserver en Cross Site scripting mogelijk. Geautoriseerde backendgebruikers met toegang tot een filemount konden middels het eerste lek Apache configuratie in de vorm van een htaccess bestand uploaden. Hiermee kon code ingevoerd en uitgevoerd worden voor misbruik van het systeem. Dit lek werd als "ernstig" bestempeld.

Het tweede lek maakte Cross Site scripting mogelijk doordat ingevoerde gegevens door gebruikers in het bestand "fe_adminlib.inc" niet correct gefiltered werd. Alleen TYPO3 websites die gebruik maken van op "fe_adminlib.inc" gebaseerde extensies zijn hierdoor getroffen. Bekende TYPO3 extensies die van deze lib gebruik maken zijn: direct_mail_subscription, feuser_admin, kb_md5fepw. Dit lek werd als "niet ernstig" bestempeld.

De volgende TYPO3 versies zijn getroffen door deze veiligheidslekken: 3.x, 4.0 tot en met 4.0.7, 4.1 tot en met 4.1.6 alsmede versie 4.2.0.

Uitvoerige informatie is te vinden op TYPO3.org als Security-Bulletin en op het TYPO3 blog Buzz in de vorm van een artikel van de hand van TYPO3 veiligheidsexpert Henning Pingel.

Upgraden van de verschillende versies van de 4.x tak kan probleemloos als men niet naar een hogere versie upgrade. Bijvoorbeeld van 4.1.5 naar 4.1.7 of van 4.2 naar 4.2.1. De nieuwe TYPO3 versies 4.2.1, 4.1.7 en 4.0.9 zijn op TYPO3.org/download te downloaden. De nieuwe versies werken ook allemaal in de nieuwe versie van Firefox. Versies van voor TYPO3 4.2 lieten de backend slechts gedeeltelijk zien.

Alle TYPO3 installaties die door Netcreators gehost worden zijn direct geupgrade.

---