The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

В системе управления контентом TYPO3 устранено 14 опасных уязвимостей

29.07.2010 21:13

В корректирующих релизах свободной системы управления web-контентом TYPO3 4.1.14, 4.2.13, 4.3.4 и 4.4.1 устранено 14 уязвимостей, среди которых несколько критических проблем, охватывающих почти все типы проблем безопасности в web-приложениях.

Найденные ошибки позволяют злоумышленнику выполнить свой SQL-код на сервере (проявляется только для пользователей которым открыт доступ на редактирование документов), инициировать отправку сообщения на любой email (можно использовать для рассылки спама), осуществить сброс пароля для другого пользователя, воспользоваться сессией другого пользователя, вставить произвольный JavaScript-код на страницу и выполнить произвольный PHP-код на сервере (можно загрузить вместо картинки .phtml файл и обратиться к нему).

  1. Главная ссылка к новости (http://secunia.com/advisories/...)
  2. OpenNews: Уязвимости в TYPO3, Aircrack-ng, Zabbix, VMware, memcached и Linux ядре
  3. OpenNews: Уязвимости в KDE, sudo, PDNS-Admin, Asterisk, OCS Inventory NG и TYPO3
  4. OpenNews: Вышел релиз системы управления web-контентом TYPO3 4.3
  5. OpenNews: Уязвимости в Typo3, Alien Arena, Piwik, Oracle, VMware и Linux ядре
Лицензия: CC-BY
Тип: Проблемы безопасности
Короткая ссылка: https://opennet.ru/27473-typo3
Ключевые слова: typo3, cms, security
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (6) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, yopt (ok), 21:48, 29/07/2010 [ответить]  
  • +1 +/
    вот и чудненько. что исправили
     
     
  • 2.3, User294 (ok), 01:53, 30/07/2010 [^] [^^] [^^^] [ответить]  
  • +/
    Остается только вопрос - сколько дыр у них осталось, если 14 заткнули. Все-таки от server-side софта как-то хочется меньшей дырявости. Потому как ему не всегда можно уделять пристальное внимание. И если какойнить браузер я могу без проблем обновить, раз уж я за монитором и намерен поюзать оный, серверного софта это как-то не касается, т.к. он работает и тогда когда я, его админ - где-то за тридевять земель.
     

  • 1.2, Аноним (-), 22:23, 29/07/2010 [ответить]  
  • +1 +/
    altlinux.ru под TYPO3 крутится. Говорил им, не ставьте TYPO3, он безнадежно дыряв, не верили.
     
  • 1.8, zoonman (ok), 10:19, 30/07/2010 [ответить]  
  • +1 +/
    Никто не застрахован от ошибок.
    В ядрах находят уязвимости, а пишут их Профессионалы, с которыми быдлокодерам даже тягаться не стоит.
    Хуже всего то, что многие обучающие примеры приведены именно с небезопасным программированием. А так как PHP прост в изучении так же, как и Basic, его активно используют начинающие, мало соображающие о подводных камнях при программировании server side приложений.
     
     
  • 2.9, User294 (ok), 16:57, 30/07/2010 [^] [^^] [^^^] [ответить]  
  • +/
    > Никто не застрахован от ошибок.

    Все так, но 14 дыр за версию - имхо чутка перебор для продукта который вывешен в инет 24/7 а стало быть - хаксоры могут делать с ним все что угодно.

     

  • 1.10, Аноним (-), 21:10, 30/07/2010 [ответить]  
  • +/
    гы, нашли баги, доступные тем, кто имеет права на редактирование.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2022 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру