The OpenNET Project
 
Поиск (теги):    НОВОСТИ (+) КОНТЕНТ WIKI MAN'ы ФОРУМ twitter

19.02.2015 13:48  В системе управления контентом TYPO3 найдена критическая уязвимость

Представлен внеплановый выпуск системы управления контентом TYPO3 4.5.40 в котором устранена критическая уязвимость, позволяющая обойти систему аутентификации и выполнить вход, зная лишь логин пользователя. Проблема проявляется только в ветке 4.x при аутентификации backend-пользователя на fronend по ключам RSA, обеспечиваемой компонентом rsaauth (в конфигурации по умолчанию не используются ни rsaauth, ни felogin).

  1. Главная ссылка к новости (http://typo3.org/news/article/typo3-cms-...)
  2. OpenNews: Релиз системы управления контентом TYPO3 7.0
  3. OpenNews: Релиз системы управления контентом TYPO3 6.0
  4. OpenNews: В системе управления контентом TYPO3 устранено 14 опасных уязвимостей
  5. OpenNews: В Bugzilla устранена опасная уязвимость, открывшая новый вид атак на web-приложения
Тип: Проблемы безопасности
Ключевые слова: typo3, cms, (найти похожие документы)
При перепечатке указание ссылки на opennet.ru обязательно
Реклама
Обсуждение Линейный вид (Ajax) | Показать все | RSS
 
  • 1.1, Аноним, 13:55, 19/02/2015 [ответить] [смотреть все]
  • +/
    В патче только - if parent authUser userRecord if is_bool checkResul... весь текст скрыт [показать]
     
     
  • 2.2, Аноним, 14:00, 19/02/2015 [^] [ответить] [смотреть все]  
  • +1 +/
    В похапэ empty 0 тоже считается false ... весь текст скрыт [показать]
     
     
  • 3.3, Аноним, 14:03, 19/02/2015 [^] [ответить] [смотреть все]  
  • +/
    сам патч не смотрел, но думаю истина где-то недалеко ... весь текст скрыт [показать]
     
  • 3.5, Xaionaro, 14:13, 19/02/2015 [^] [ответить] [смотреть все]  
  • +/
    Вы опечатались:

    s/false/true/

     
  • 3.7, Аноним, 14:21, 19/02/2015 [^] [ответить] [смотреть все]  
  • –1 +/
    в if this- login uident тоже на ноль в this- login uident срабо... весь текст скрыт [показать]
     
  • 1.8, Michael Shigorin, 14:21, 19/02/2015 [ответить] [смотреть все]  
  • +1 +/
    > Проблема проявляется только при аутентификации по ключам RSA,
    > обеспечиваемой компонентом rsaauth.

    ...для felogin (возможность редактирования сайта "с лица" при осуществлении входа в административную часть), который тоже отключен по умолчанию.  Но всё равно неприятно.

     
  • 1.10, th3m3, 15:03, 19/02/2015 [ответить] [смотреть все]  
  • –1 +/
    Оно ведь на php? Тогда всё понятно.
     
     
  • 2.12, MidNight_er, 15:05, 19/02/2015 [^] [ответить] [смотреть все]  
  • +1 +/
    а если такая же логика работы будет на C или C++ тогда что вам понятно станет?
     
     
  • 3.16, anonymous, 23:04, 19/02/2015 [^] [ответить] [смотреть все]  
  • –1 +/
    Пыхпых для вебсайта... А Си++ это такой же пыхпых, только для ОС.
     
  • 2.13, Аноним, 16:27, 19/02/2015 [^] [ответить] [смотреть все]  
  • +/
    Лажа вроде чисто алгоритмическая Какая разница на чем она будет сделана Хоть н... весь текст скрыт [показать]
     
     
  • 3.15, Аноним, 16:34, 19/02/2015 [^] [ответить] [смотреть все]  
  • +2 +/
    Не совсем алгоритмическая Тут именно особенность PHP, на которую, очевидно, нар... весь текст скрыт [показать]
     
  • 3.18, Michael Shigorin, 00:01, 20/02/2015 [^] [ответить] [смотреть все]  
  • +/
    > В смысле это типа, типо по жизни имело очень таксебешный уровень безопасности.

    Отнюдь, заметно лучше среднего в своём классе.

     
  • 1.11, MidNight_er, 15:03, 19/02/2015 [ответить] [смотреть все]  
  • –1 +/
    Очевидно разработчики не знают об автоматизированном тестировании
     
     
  • 2.14, Аноним, 16:28, 19/02/2015 [^] [ответить] [смотреть все]  
  • +1 +/
    Очевидно что некоторые макаки думают что автоматизированное тестирование заменяе... весь текст скрыт [показать]
     
     
  • 3.17, Аноним, 23:29, 19/02/2015 [^] [ответить] [смотреть все]  
  • +/
    Пардон, но ведь недопиленному автоматизированному тестировани, разве не ущербный... весь текст скрыт [показать]
     

    Ваш комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:
     
    Навигация
     
     Новости для экспорта XML
     В социальных сетях:  twitter  
     Сводные | за день | мини-новости
     Разделы новостей
     Что нового на OpenNet
     Поиск в новостях
     Новые комментарии
     Добавить свою новость

    Важное
    - 25.03 Релиз GNOME 3.16. Обзор новшеств (124 +50)

    Советы
    - 18.03 Подготовка качественных GIF-файлов из видео при помощи FFmpeg
    - 13.03 Обновление Debian Wheezy до Debian Jessie, не дожидаясь официального релиза
    - 12.03 Подавление шумов средствами PulseAudio
    - 23.02 Создание интерактивных графических моделей в CAS MAXIMA при использовании ОС GNU Linux
    - 05.02 Мониторинг температуры в Zabbix с использованием Digitemp

    Обсуждаемые новости
    - 23:06 Выпуск открытого медиацентра Kodi 14.2 (бывший XBMC)  (16)
    - 22:42 Космическое агентство NASA открыло код платформы для создани (20)
    - 22:35 Релиз Samba 4.2.0. Прекращение поддержки Samba 3 (80)
    - 22:31 На GitHub обрушилась необычная DDoS-атака, проведённая через (110)
    - 20:24 Второй кандидат в релизы инсталлятора Debian 8.0 (52)
    - 20:10 Новая версия легковесного Linux дистрибутива antiX 14.4 (33)
    - 20:00 Доступна финальная бета-версия Ubuntu 15.04, ознаменовавшая  (157)
    - 18:26 Проект OpenBSD выпустил NTP-сервер OpenNTPD 5.7p4 (13)


      Закладки на сайте
      Проследить за страницей
    Created 1996-2015 by Maxim Chirkov  
    ДобавитьРекламаВебмастеруГИД  
    RUNNet TopList
    п╡п╣я│п╣п╩я▀п╣ п╨п╟я─я┌п╦п╫п╨п╦ я─п╟п╥п╡п╩п╣п╨п╟я┌п╣п╩я▄п╫я▀п╣ пЁп╦я└п╨п╦ п╦п╫я┌я─п╣я│п╫я▀п╣ я└п╟п╨я┌я▀ я│п╪п╣я┬п╫я▀п╣ п╡п╦п╢п╣п╬ я│п╪п╣я┬п╫я▀п╣ п╦я│я┌п╬я─п╦п╦ п╦п╥ я│п╬я├я│п╣я┌п╣п╧