Vulnerability in TYPO3

Der aufmerksame Ralph!
Ein kritischer Sicherheitsmangel. Typo3 fragt bei der Zugriffskontrolle nur ab, ob die Hashes gleich sind ($juHash == $calcJuHash) und nicht, ob sie identisch sind ($juHash === $calcJuHash). Abhilfe schafft im File typo3/sysext/cms/tslib/class.tslib_fe.php
------------------------
if ($juHash == $calcJuHash) {
------------------------
gegen
------------------------
if ($juHash === $calcJuHash) {
auszutauschen oder, seit dem 6.10. der Einsatz des neuen Release.
Ich habe die Reaktionszeit des Security Teams mal über den Typo3 Bugtracker:

bugs.typo3.org/view.php verfolgt.

lwulfe schrieb:

Für Typo3 wird übrigens CVSS (Common Vulnerability Scoring System) eingesetzt, was immer das auch ist (Ralph?).

Hallo alle miteinander,

CVSS ist eine Bewertungssystem, mit dem man einen Wert ermitteln kann, der Auskunft über die "Gefährlichkeit" einer Lücke/Vulnerability gibt. Anstatt sich auf individuelle Begriffe wie "Gering", "Mittel" oder "Hoch" zu verlassen, gibt es eine Formel, nach der sich ein Zahlenwert berechnen läßt.
Vorteil dabei ist, man kann nun z.B. Lücken von merhrerne Produkten vergleichen und z.B. die gefährlichsten zuerst beheben.
Man kann auch sagen, dass z.B. die 20 Lücken bei Produkt A bei weitem nicht so schwerwiegend waren, wie die 3 von Produkt B. CVSS macht es halt alles etwas transparenter und besser darstellbar.
Im Endeffekt ist es aber gleich, Vulnerabilitys gehören behoben

Wie Lutz schon sagte -> "Kritisch", also den Fehler umgehend beheben!

Grüße Ralph

PS: Hier gibts lesefreundliche Backgroundinfos dazu ...

blog.psi2.de/2010/04/02/cvss-scores-selbst-berechnen-und-anwenden/

Danke Ralph für die Erklärung!
Ich würde diesen Thread gerne zum Anlass nehmen, nach euren Erfahrungen über die Qualität der Fehlerbeseitigung, Reaktionzeiten, u. ä. mit euren CMS zu fragen.
Gibt es einen Bugtracker, werden kritische Fehler zeitgerecht beseitigt, gibt es ein öffentliches Informationssystem?