TYPO3-Chef Michael Stucki hat heute die Veröffentlichung der Minor Updates 4.1.2 und 4.0.7 bekanntgegeben – beides sind Bugfix-Releases und enthalten adressieren unter anderem zwei (als sehr unkritisch eingestufte und daher ohne gesondertes Bulletin freigegebene) Security Themen. Der Download ist wie immer unter typo3.org/download/packages/ verfügbar.
Das heutige Security Bulletin zu „civserv“, dem virtuellen Rathaus für TYPO3, hat eine besondere Vorgeschichte: Gefunden wurden die Schwachstellen nämlich im Rahmen eines ausführlichen „Extension Review“, also der gezielten Prüfung der Extension im Auftrag der Entwickler.
Die Reihe der Security Bulletins reisst nicht ab: Das TYPO3 Security Team hat schwerwiegende (Cross-Site-Scripting and SQL-Injection) Probleme in der TYPO3 Dritt-Extension “civserv” („virtuelles Rathaus“) gefunden und eine Behebung bereitgestellt, die jeder Anwender der Extension dringend installieren sollte!
Hallo allerseits! Wie schon angekündigt, möchten wir die gegenwärtigen und künftigen Hackerangriffe besser verstehen und zu diesem Zweck mit einen (perspektivisch: mehrere) Honeypot aufsetzen.
Das TYPO3 Security Team hat ein schwerwiegendes Problem in der TYPO3 Dritt-Extension „fechangepassword“ gefunden und eine Behebung bereitgestellt, die jeder Anwender der Extension dringend installieren sollte!
Details finden sich im offiziellen Security Bulletin.
Das TYPO3 Security Team hat ein schwerwiegendes Problem in der TYPO3 Dritt-Extension „ftpbrowser“ gefunden und eine Behebung bereitgestellt, die jeder Anwender der Extension dringend installieren sollte!
Was wir gegenwärtig erleben, erreicht tatsächlich neue Dimensionen: Server werden – vermutlich zentral gesteuert – automatisiert massenhaft auf bekannt Lücken gescannt und gehackt.
Schon seit einiger Zeit wird von wiederkehrenden Angriffen auf Webserver berichtet, so etwa in den Pressemeldungen „Groß angelegter Angriff auf Web-Anwender im Gange“, „Weitere Details zu Web-Attack-Toolkit MPack“ „Schneeball-Effekt: nur ein anfälliges PHP-Script genügt“ und vielen anderen Quellen. In diesen Angriffen werden – zumindest teilweise automatisiert – verschiedene Wege ausgenutzt, um Kontrolle über die Webserver zu erlangen.