TYPO3 CMS: Security Update – jumpurl: calculated juhash did not match the submitted juhash

Am 06.03.2013 wurde vom TYPO3 Security-Team die Info herausgegeben, dass sich in den TYPO3 CMS Versionen  4.5.0 - 4.5.23, 4.6.0 - 4.6.16, 4.7.0 - 4.7.8 und 6.0.0 - 6.0.2 größere Sicherheitslücken befinden. Ein Security Update wurde für die TYPO3 CMS Versionen veröffentlicht. Nach dem Einspielen der neuen TYPO3 CMS Versionen kann es zu dem Fehler kommen, dass die JumpUrls nicht mehr aufgerufen werden können und eine TYPO3 Exception geworfen wird.

jumpurl: Calculated juHash did not match the submitted juHash.

Betroffen sind TYPO3 Inhaltsseiten, die als "Link zu externer Url" eingesetzt werden und auch das DirectMail-Plugin das auf die JumpUrls zurückgreift.Beheben lässt sich der Fehler derzeit nur mit einem Patch für die "class.tslib_fe.php" Datei im TYPO3 Core. (TYPO3 Versionen 6.0.3, 4.7.9, 4.6.17 und 4.5.24)

https://review.typo3.org/#/c/18755/
https://review.typo3.org/#/c/18755/3/typo3/sysext/cms/tslib/class.tslib_fe.php

In der Datei muss in der Klassenmethode "function setExternalJumpUrl()" eine Zeile hinzugefügt werden.

function setExternalJumpUrl()	{
		if ($extUrl = $this->sys_page->getExtURL($this->page, $this->config['config']['disablePageExternalUrl']))	{
			$this->jumpurl = $extUrl;
			t3lib_div::_GETset(t3lib_div::hmac($this->jumpurl, 'jumpurl'), 'juHash');
		}
	}

Die Zeile

t3lib_div::_GETset(t3lib_div::hmac($this->jumpurl, 'jumpurl'), 'juHash');

ist hierbei neu. Danach leert bitte euren TYPO3 Cache und ggf. den RealUrl-Cache, sodass die Url-Hashes neu berechnet werden können.

Tags: , , , , , ,

11 Antworten auf "TYPO3 CMS: Security Update – jumpurl: calculated juhash did not match the submitted juhash"

  • Michael says:
  • Tim Rüther says:
  • Danaron says:
  • Danaron says:
  • Jörg says:
  • Lexx says:
  • Claudia says:
  • Flurry says:
  • andre says:
  • andre says:
  • Flurry says:
Hinterlasse eine Nachricht