«
»

Mehrere Schwachstellen


CERT-Bund Meldung —————–

KURZINFO CB-K10/0296 Titel: TYPO3: Mehrere Schwachstellen Datum: 29.07.2010 Software: TYPO3 TYPO3 <4.4.1, TYPO3 TYPO3 <4.3.4, TYPO3 TYPO3 <4.2.13, TYPO3 TYPO3 <4.1.14, TYPO3 TYPO3 Front End User Registration <2.5.26 Plattform: UNIX, Linux, Windows Auswirkung: Cross-Site-Scripting Remoteangriff: Ja Risiko: mittel Bezug: http://typo3.org/teams/security/security-bulletins/

BESCHREIBUNG TYPO3 ist ein freies Content-Management-System, basierend auf der Scriptsprache PHP und einer SQL-Datenbank. Über zahlreiche Extensions kann der Funktionsumfang der Core-Installation individuell erweitert werden.

Ein entfernter, anonymer Angreifer kann mehrere Schwachstellen in TYPO3 ausnutzen, um einen Cross Site Scripting Angriff durchzuführen, Benutzer auf schadhafte Webseiten weiterzuleiten, SPAM Emails zu versenden, kryptographische Funktionen zu brechen, einen Session Fixation Angriff durchzuführen und das Passwort von Benutzer zu überschreiben.

Ein entfernter, authentisierter Angreifer kann mehrere Schwachstellen in TYPO3 ausnutzen, um SQL Injection und PHP Code Injection durchführen.

Mit freundlichen Grüßen das Team CERT-Bund

——————————————– Bundesamt für Sicherheit in der Informationstechnik (BSI) Referat 121 Godesberger Allee 185 -189 53175 Bonn

Postfach 20 03 63 53133 Bonn

Telefon: +49 (0)228 99 9582 222 Telefax: +49 (0)228 99 9582 5427 E-Mail: wid-kontakt@bsi.bund.de Internet: www.cert-bund.de

——————————————–

“Die Authentizität dieser Nachricht kann anhand der digitalen Signatur überprüft werden. Die hierfür zum Einsatz kommenden öffentlichen Schlüssel sowie die Verfahren sind auf den Seiten des CERT-Bund https://www.cert-bund.de/wid-sig aufgeführt und erläutert.

Die Inhalte dieser Meldung repräsentieren den Kenntnisstand des BSI zum Zeitpunkt der Versendung. Eine Haftung für eventuelle Schäden oder Konsequenzen, die durch die direkte oder indirekte Nutzung der Inhalte entstehen, wird, außer für den Fall des Vorsatzes oder der groben Fahrlässigkeit, ausgeschlossen.

Aus Gründen des Urheberrechts darf diese Meldung nur kopiert und für den persönlichen Gebrauch weitergeleitet werden, wenn dies im vollständigen Wortlaut, ohne Änderungen und mit BSI-Copyright-Informationen geschieht. Eine kommerzielle Nutzung ist ausdrücklich untersagt.”

Dieser Beitrag wurde am Donnerstag 29. Juli 2010, 14:52 unter Bugs / Fehlermeldungen verfasst. Sie können alle Antworten auf diesen Beitrag nachverfolgen mit RSS 2.0. Sie können eine Antwort, oder einen Trackback von Ihrer eigenen Seite hinterlassen.

  1. Bisher keine Kommentare.

Sie müssen angemeldet sein, um einen Beitrag zu verfassen.