Linuxový portál - novinky ze světa Linux - Unix

Vytisknout

TYPO3 obsahuje chybu v jumpURL funkci

Napsal SvenHassel. Zařazeno v Novinky

typo3-logoDalší chyba v jumpURL funkci v OpenSource CMS systému TYPO3 umožňuje útočníkovi stahovat libovolné soubory, v nejhorším případě bude útočník moci získat localconf.php soubor, který obsahuje (hash) heslo pro instalace, stejně jako uživatelské jméno a heslo pro databázi. Počátkem roku byl podobný problém využíván k hacknutí stránek německého spolkového ministra financí Wolfganga Schäuble.

Nicméně tentokrát se situace nejeví až tak kriticky. Vývojový tým sdělil, že hash hodnoty, potřebné pro stahování souborů, mohou být falešné pro to, aby bylo možné obejít TYPO3 řízení přístupu. Tento problém existuje, protože srovnávání předávaných hash hodnot s hash hodnotami vypočítanými podle serveru není bezpečné. Vzhledem k implicitní konverzi typu porovnávání hodnot, jako je „==0“ vrátí hodnotu true. Zpráva neuvádí žádné podrobnosti o tom, jak přesně to lze zneužít pro to, aby se dalo obejít kontrolu přístupu. Všechny verze TYPO 4.2.14, 4.3.6 a 4.4.3 jsou ovlivněny. Aktualizace na TYPO 4.2.15, 4.3.7 a 4.4.4 opravují chybu a také řadu dalších problémů, včetně cross-site scripting (XSS) a Denial of Services (DoS) zranitelnosti. Všem uživatelům se doporučuje provést aktualizaci co nejdříve.

TYPO3 obsahuje chybu v jumpURL funkci

 

Další chyba v jumpURL funkci v open source CMS systému umožňuje útočníkovi stahovat libovolné soubory v nejhorším případě, bude útočník moci získat localconf.php soubor, který obsahuje (hash) heslo pro instalace, stejně jako uživatelské jméno a heslo pro databázi. Počátkem roku, podobný problém byl využíván k hacknutí stránek německého spolkového ministra financí Wolfganga Schäuble.

 

Nicméně tentokrát se situace nejeví až tak kriticky. Vývojový tým sdělil, že hash hodnoty potřebné pro stahování souborů mohou být falešné pro to aby bylo možné obejít TYPO3 řízení přístupu. Tento problém existuje, protože srovnávání předávaných hash hodnot s hash hodnotami vypočítanými podle serveru není bezpečné. Vzhledem k implicitní konverzi typu porovnávání hodnot, jako je „==0“ vrátí hodnotu true. Zpráva neuvádí žádné podrobnosti o tom, jak přesně to lze zneužít pro to aby se dalo obejít kontrolu přístupu. Všechny verze TYPO 4.2.14, 4.3.6 a 4.4.3 jsou ovlivněny. Aktualizace na TYPO 4.2.15, 4.3.7 a 4.4.4 opravují chybu a také opravuje řadu dalších problémů, včetně cross-site scripting (XSS) a Denial of Services (DoS) zranitelnosti. Všem uživatelům se doporučuje provést aktualizaci co nejdříve.

Obsah tohoto článku byl uzavřen. Nemáte dostatečná práva pro další editaci.

Joomla SEF URLs by Artio

Vývoj Joomla! ...

  • Vývoj komponent
  • Úpravy komponent
  • Vývoj modulů
  • Vývoj pluginů
  • Překlady
people-worker-blue-sm

Více na www.website21.cz

 

Joomla hosting

  • Kvalitní technologie
  • Vysoká rychlost
  • Vysoká bezpečnost
  • Vysoká stabilita
  • 100% Joomla ready
  • Návody/dokumentace
joomhosting

Více na www.joomhosting.eu

Servis PC

  • Odborné instalace
  • Instalace Linux/Unix
  • Instalace MS Windows
  • Odborné odvirování
  • Odborný servis HW
people-worker-2-blue-sm

Více na www.website21.cz

linuxportal-one ictmanazer joomladev-logo firefox-podpora  ocal-logo