Die Typo3 Entwickler weisen in ihrem Security-Bulltin auf mehrere Schwachstellen in den Versionen 4.0.0 bis 4.0.9, 4.1.0 bis 4.1.7 und 4.2.0 bis 4.2.3 hin. Darunter auch mehrere Cross-Site-Scripting Fehler.

Es wird empfohlen möglichst bald auf die Version 4.0.10, 4.1.8 oder 4.2.4 zu upgraden.

Aufzupassen ist in der Version 4.0.10. Hier gibt es ein Problem mit PHP4, da eine in PHP4 nicht unterstütze Funktion implementiert wurde. Es empfiehlt sich deshalb möglichst auch auf PHP5 zu upgraden, da auch PHP4 am Ende der Laufzeit angelangt ist.

Weitere Informationen auf Heise.de

Wer Typo3 schon mal geupdatet hat, kennt das Problem möglicherweise:

Nach dem Update erscheint über der Seite und dem Adminpanel ein ellenlanger Text mit Variablen die mit $GLOBALS[] beginnen. Ganz am Anfang dieses Textes steht mehrfach
„date2cal“. Damit ist nun klar das die Erweiterung „date2cal“ ein Problem verursacht. Mit folgender Anleitung wirst du die fehlerhafte Erweiterung los:

• Update im Installtool ausführen und den Cache löschen
• Editiere die Datei typo3conf/localconf.php

$TYPO3_CONF_VARS['EXT']['extList'] = 'css_styled_content,...

• Lösche den Eintrag date2cal
• Anschliessend den Ordner typo3conf/ext/date2cal löschen.
• Zum Schluss müssen im Ordner typo3conf die Dateien temp_CACHE_xxxxx
  gelöscht werden. Danach sollte wieder alles normal laufen.

Angemerkt bleibt: Wenn date2cal irgendwo verwendet wurde, muss dieser Code natürlich auch bereinigt werden.

Der Forumseintrag, der mich auf die Spur gebracht hat.