Es gibt mehrere Extensions die es Angreifern ermöglichen, Remote-Angriffe auf TYPO3-Installationen durchzuführen. Mit Ausnahme von einer Extension sind Updates verfügbar um diese Schwachstellen zu beheben. Es wird dringend empfohlen; diese Aktualisierungen so schnell wie möglich durchzuführen.
Betroffen sind laut BSI und Sicherheitswarnungen der TYPO3-Entwickler die Extensions Download Center, Smallads Frontend User Registration DRC News Comment, JobControl & Caretaker in mehreren Versionen. Das BSI stuft das von den Schwachstellen ausgehende Sicherheitsrisiko als "hoch" ein. Die Einschätzung von TYPO3 lautet fast durchweg "critical"; lediglich Smallads ("medium") bildet eine Ausnahme.
TYPO3 rät zur Deinstallation von JobControl
Die jeweils betroffenen Versionen sind ähnelt wie Links zu den bereitstehenden Updates den in dieser Meldung verlinkten Sicherheitshinweisen zu entnehmen. Nutzer sollten zeitnah auf die abgesicherten Versionen umsteigen.
Einzig für die ExtensionJobControl steht kein Update bereit da die Entwicklung eingestellt wurde. In der Konsequenz hat das TYPO3-Team sie aus der Erweiterungsdatenbank gelöscht und rät Nutzern dazu, sie ebenfalls aus ihrer CMS-Installation zu entfernen.
(ovw)
Kommentare