Mrz
7

TYPO3 CMS: Security Update – jumpurl: calculated juhash did not match the submitted juhash

Am 06.03.2013 wurde vom TYPO3 Security-Team die Info herausgegeben, dass sich in den TYPO3 CMS Versionen  4.5.0 - 4.5.23, 4.6.0 - 4.6.16, 4.7.0 - 4.7.8 und 6.0.0 - 6.0.2 größere Sicherheitslücken befinden. Ein Security Update wurde für die TYPO3 CMS Versionen veröffentlicht. Nach dem Einspielen der neuen TYPO3 CMS Versionen kann es zu dem Fehler kommen, dass die JumpUrls nicht mehr aufgerufen werden können und eine TYPO3 Exception geworfen wird.

jumpurl: Calculated juHash did not match the submitted juHash.

Betroffen sind TYPO3 Inhaltsseiten, die als "Link zu externer Url" eingesetzt werden und auch das DirectMail-Plugin das auf die JumpUrls zurückgreift.Beheben lässt sich der Fehler derzeit nur mit einem Patch für die "class.tslib_fe.php" Datei im TYPO3 Core. (TYPO3 Versionen 6.0.3, 4.7.9, 4.6.17 und 4.5.24)

https://review.typo3.org/#/c/18755/
https://review.typo3.org/#/c/18755/3/typo3/sysext/cms/tslib/class.tslib_fe.php

In der Datei muss in der Klassenmethode "function setExternalJumpUrl()" eine Zeile hinzugefügt werden.

function setExternalJumpUrl()	{
		if ($extUrl = $this->sys_page->getExtURL($this->page, $this->config['config']['disablePageExternalUrl']))	{
			$this->jumpurl = $extUrl;
			t3lib_div::_GETset(t3lib_div::hmac($this->jumpurl, 'jumpurl'), 'juHash');
		}
	}

Die Zeile

t3lib_div::_GETset(t3lib_div::hmac($this->jumpurl, 'jumpurl'), 'juHash');

ist hierbei neu. Danach leert bitte euren TYPO3 Cache und ggf. den RealUrl-Cache, sodass die Url-Hashes neu berechnet werden können.

Ähnliche Beiträge

Sovrn

Tags: , , , , , ,

von Jörg am 07.03.2013, unter TYPO3
11 Kommentare

11 Antworten auf "TYPO3 CMS: Security Update – jumpurl: calculated juhash did not match the submitted juhash"

  • Michael says:
    8. März 2013 um 11:31 Uhr

    Der Bug wurde offensichtlich mit Version 4.5.25 (und wohl dann auch mit 4.6.18, 4.7.10 und 6.0.4) behoben.

  • Tim Rüther says:
    8. März 2013 um 12:30 Uhr

    Danke für die Lösung.

  • Danaron says:
    11. März 2013 um 13:25 Uhr

    Hallo Michael,
    Also ich habe auf die 4.5.25 upgedated und bekomme aber immer noch den Fehler. Bist du sicher, dass der Bug mit dieser Version behoben sein soll?
    Lieber Gruss
    Danaron

  • Danaron says:
    11. März 2013 um 13:47 Uhr

    Habe mittlerweile geschaut, ob der fix bei mir drin ist. Tatsächlich steht die Zeile schon da, aber der Fehler ist trotzdem noch da. Wer kann helfen?

  • Jörg says:
    11. März 2013 um 14:29 Uhr

    Hast du schon den RealUrl oder CoolURL-Cache und danach den TYPO3-Cache geleert?

  • Lexx says:
    13. März 2013 um 09:07 Uhr

    Hallo, ja bei mir tritt der Fehler auch bei diversen TYPO3-Versionen (4.5.25) auf. Die angegebene Zeile steht schon drin. Cache-Löschen und Zeile nochmals reinschreiben brachte auch nix.

  • Claudia says:
    21. März 2013 um 10:39 Uhr

    Oh, vielen Dank für den Artikel. Du rettest mir den Tag 🙂

  • Flurry says:
    8. Mai 2013 um 08:53 Uhr

    Ich habe das gleiche Problem wie Lexx. Auch bei TYPO3 Version 4.5.26 bei der der Fix schon drin ist tritt der Fehler weiterhin auf. Caches alle gelöscht, kein Erfolg :-/ Kann es hier eine weitere Fehlerquelle geben? LG

  • andre says:
    14. Mai 2013 um 07:56 Uhr

    Hey, auch ich hab Probleme mit der 4.5.24 gehabt, dann auf 25 geupdatet, immernoch keine Besserung und dann wurde gesagt, dass es mit der 26 geht. Aber auch da kommen immernoch die Fehler.

  • andre says:
    14. Mai 2013 um 08:02 Uhr

    Habe den Fehler nun gefunden. Man braucht Direct Mail 3.0.4!

  • Flurry says:
    17. Juni 2013 um 13:33 Uhr

    Ich habe überhaupt kein Direct Mail auf dem System. Hieran kann es also nicht liegen. Ich werde aber mal meine restlichen Extensions auf aktualität prüfen. Vielleicht komme ich so weiter.

Hinterlasse eine Nachricht