Security Bulletin TYPO3-20061010-1: fe_adminLib.inc

Een Cross-Site-Scripting (XSS) probleem is ontdekt in het TYPO3 bestand fe_adminLib.inc. Hierdoor kan een kwaadwillend persoon gevoelige informatie uit een website naar voren halen door via bijvoorbeeld Javascript bepaalde beveiligingen te omzeilen.

De security groep van TYPO3 heeft het gevaar gepatched en tevens aangegeven dat de risico's vrij klein zijn.

Het probleem zit hem specifiek in de BackURL parameter. Het wordt omschreven als 'The "backURL" parameter is not escaped correctly. A prepared URL could potentially contain some unwanted JavaScript code.'

De oplossing die wordt gepresenteerd is als volgt:

IMPORTANT: It is a usual practice to customize fe_adminLib.inc and use this file instead of the upstream version. These files will require manual patching (see below). Search your database to find out if you are using a user-defined file.

According to the release workflow documentation  only TYPO3 4.0 is currently supported. But, since this bug is easy to be fixed in TYPO3 3.8 also, we provide an additional howto for this version below:

a) TYPO3 4.0
   1. Replace the file typo3/sysext/cms/tslib/media/scripts/fe_adminLib.inc of your source code with the attached fe_adminLib.inc

b) TYPO3 3.8
   1. Replace the file fe_adminLib.inc at the following places or your source code:
      - typo3/sysext/cms/tslib/media/scripts/fe_adminLib.inc
      - tslib/media/scripts/fe_adminLib.inc (only if symlinks are not used)
      - media/scripts/fe_adminLib.inc (only if symlinks are not used)

Via de originele melding kun je patches downloaden.

Bron: TYPO3.org

Gerelateerd nieuws: