fb-tux 32 fb website21

Vyhledávání

Google + | Facebook

Přihlášení / Registrace

Zavřít



Linuxové projekty

Archiv článků

Vstup do archivu

Hlasování

Který webový prohlížeč používate?
 

RSS zdroje portálu

NOVINKY

Naši partneři

www.linuxportal.cz

hack4fun-banner1

ictmanazer-logo

joomladev-logo

linpro-logo

luxusni-plysaci

Doporučujeme

web4U-logo

110x32 get edit 2

Hlavní stránka Novinky TYPO3 obsahuje chybu v jumpURL funkci

TYPO3 obsahuje chybu v jumpURL funkci

Neděle, 10 Říjen 2010 08:44 | Napsal uživatel SvenHassel | Tisk | Email
typo3-logoDalší chyba v jumpURL funkci v OpenSource CMS systému TYPO3 umožňuje útočníkovi stahovat libovolné soubory, v nejhorším případě bude útočník moci získat localconf.php soubor, který obsahuje (hash) heslo pro instalace, stejně jako uživatelské jméno a heslo pro databázi. Počátkem roku byl podobný problém využíván k hacknutí stránek německého spolkového ministra financí Wolfganga Schäuble.

Nicméně tentokrát se situace nejeví až tak kriticky. Vývojový tým sdělil, že hash hodnoty, potřebné pro stahování souborů, mohou být falešné pro to, aby bylo možné obejít TYPO3 řízení přístupu. Tento problém existuje, protože srovnávání předávaných hash hodnot s hash hodnotami vypočítanými podle serveru není bezpečné. Vzhledem k implicitní konverzi typu porovnávání hodnot, jako je „==0“ vrátí hodnotu true. Zpráva neuvádí žádné podrobnosti o tom, jak přesně to lze zneužít pro to, aby se dalo obejít kontrolu přístupu. Všechny verze TYPO 4.2.14, 4.3.6 a 4.4.3 jsou ovlivněny. Aktualizace na TYPO 4.2.15, 4.3.7 a 4.4.4 opravují chybu a také řadu dalších problémů, včetně cross-site scripting (XSS) a Denial of Services (DoS) zranitelnosti. Všem uživatelům se doporučuje provést aktualizaci co nejdříve.

TYPO3 obsahuje chybu v jumpURL funkci

 

Další chyba v jumpURL funkci v open source CMS systému umožňuje útočníkovi stahovat libovolné soubory v nejhorším případě, bude útočník moci získat localconf.php soubor, který obsahuje (hash) heslo pro instalace, stejně jako uživatelské jméno a heslo pro databázi. Počátkem roku, podobný problém byl využíván k hacknutí stránek německého spolkového ministra financí Wolfganga Schäuble.

 

Nicméně tentokrát se situace nejeví až tak kriticky. Vývojový tým sdělil, že hash hodnoty potřebné pro stahování souborů mohou být falešné pro to aby bylo možné obejít TYPO3 řízení přístupu. Tento problém existuje, protože srovnávání předávaných hash hodnot s hash hodnotami vypočítanými podle serveru není bezpečné. Vzhledem k implicitní konverzi typu porovnávání hodnot, jako je „==0“ vrátí hodnotu true. Zpráva neuvádí žádné podrobnosti o tom, jak přesně to lze zneužít pro to aby se dalo obejít kontrolu přístupu. Všechny verze TYPO 4.2.14, 4.3.6 a 4.4.3 jsou ovlivněny. Aktualizace na TYPO 4.2.15, 4.3.7 a 4.4.4 opravují chybu a také opravuje řadu dalších problémů, včetně cross-site scripting (XSS) a Denial of Services (DoS) zranitelnosti. Všem uživatelům se doporučuje provést aktualizaci co nejdříve.

Obsah tohoto článku byl uzavřen. Nemáte dostatečná práva pro další editaci.

Na této stránce použité názvy programových produktů, firem nebo grafická loga mohou být ochrannými známkami nebo registrovanými ochrannými známkami příslušných vlastníků.

Copyright © 2008 - 2011. All Rights Reserved | Provozovatel: WebSite21 | Designed by WebSite21