Wie TYPO3.org heute mitteilte, ist eine neue Sicherheitslücke in folgenden Extensions aufgetaucht:
News system (news)
registration (sf_event_mgt)
Eine nicht ausreichende Sicherung der User Eingaben führt dazu, dass Schadcode über eine "SQL Injection" in die Datenbank des CMS eingeschleust werden kann. Zurzeit sind mehr als 60.000 CMS Systeme betroffen, allerdings könnte diese Zahl deutlich höher sein, da nicht alle Webseiten mit den fehlerhaften Extensions erfasst sind.
Bereits am 6. April haben die französischen Entwickler "Ambionics Security" über diesen Fehler auf Twitter berichtet. Auch wenn die Zeitspanne von vier Tagen bis zur offiziellen Bekanntgabe durch TYPO3.org recht hoch erscheint, erklärt sich diese durchaus einfach. Die Prüfung einer Extension in bestimmten Versionen und auf bestimmten Systemen bedarf Zeit und wird nicht das Einzige in der Queue der TYPO3 Entwickler sein.
Wie in der Vergangenheit zu sehen ist, werden solche Lücken schnell von den Verantwortlichen Programmieren gefixed. Auch in diesem Fall gibt es bereits einen Hotfix. Dennoch sollte in nächster Zeit verstärkt darauf geachtet werden, ob die betroffenen Systeme angegriffen oder durch diesen Fehler ausgenutzt wurden.
Natürlich übernehmen wir für unsere Kunden das fixen auf den von uns Verwalteten System unverzüglich.
Quelle: TYPO3.org