Im heute veröffentlichten Security Bulletin wird auf Sicherheitslücken in folgenden drei Extensions hingewiesen:
TYPO3 BEAT ist ein Microblogging Service
(wie z.B. Twitter). Angemeldete Benutzer können durch Text-Nachrichten ihre Freunde informieren darüber was sie gerade mit TYPO3 machen.
Eine Tag-Wolke und eine Suche runden den Service ab. Die Software basiert auf einem Open Source MicroBlogging-Protokoll. Dadurch können alle Texte auch mit anderen Microblogging Dienstleistungen verfolgt bzw. abonniert werden.
Laut einer aktuellen Mitteilung des TYPO3 Security Teams, wurde eine Sicherheitslücke in der TYPO3 Erweiterung „phpmyadmin“ festgestellt.
Die Sicherheitslücke ermöglicht es Dritten unter bestimmten Umständen, schadhaften Code in ein TYPO3 Projekt einzuschleusen und wird von den Sicherheitsexperten daher als kritisch bewertet.
Aus Sicherheitsgründen sollte zeitnah ein Update von alten phpmyadmin Installationen auf die aktuelle Version 3.3.0 durchgeführt werden. Die kürzlich veröffentlichte Version 3.3.0 enthält Bugfixes zur genannten Sicherheitslücke und entspricht so wieder dem aktuellen Sicherheitsstand. Bei Neuinstallationen von phpmyadmin verwenden Sie ausschließlich die neue Version 3.3.0, um mögliche Sicherheitsrisiken von Beginn an zu vermeiden.
Die aktuelle Version von phpmyadmin steht sowohl über den Extension Manager von TYPO3 als auch über den folgenden Link zur Verfügung:
http://typo3.org/extensions/repository/view/phpmyadmin/3.3.0/
Nähere Hinweise zur Sicherheitslücke erhalten Sie online unter:
http://typo3.org/teams/security/security-bulletins/typo3-20080916-1/
In folgenden TYPO3 Extensions wurden Sicherheitslücken durch neue Versionen geschlossen.
Das Entwicklerteam von TYPO3 hat vor Kurzem die TYPO3-Version 4.1.4 veröffentlicht. Neben vielen Verbesserungen behebt die neuen Version eine Sicherheitslücke (Stufe: niedrig) in der TYPO3-Extension Indexed Search.
Das Entwickler Team rät zur Aktualisierung und stellt die neue Version hier bereit.