Novinka

TYPOlight 2.8.3 aktualizace zabezpečení

01.05.2010 17:05:27 počet komentářů: 0

Vzhledem k bezpečnostnímu riziku, zjištěnému u funkce PDF export během vzdáleného spuštění kódu, byla dnes vydána bezpečnostní aktualizace pro TYPOlight 2.6, 2.7 a 2.8. Tento nedostatek může být zneužit pouze za určitých podmínek a neobjevuje se u všech instalací. Přesto Vám však vřele doporučujeme aplikaci aktualizovat.

Řešení nedostatků

Aktualizace pro sdílenou bezpečnost ovlivňuje následující čtyři položky:

1. Kritickou bezpečnostní slabinu v instalačním nástroji TYPOlight

Tato bezpečnostní slabina byla objevena v prosinci roku 2009 a postihuje veškeré instalace TYPOlight, které předcházejí verzi 2.7.6 .Je považována za vysoce kritickou. K dispozici jsou nyní opravné aktualizace pro verzi TYPOlight 2.4 a vyšší – jejich instalace je v každém případě nezbytná.

2. Riziko potenciálního zneužití požadavku ve správci souborů

Ačkoli nebylo doposud zneužito, hrozí toto riziko všem verzím TYPOlight nižším než 2.8.2. Jelikož tohoto zranitelného místa může využít pouze přihlášený backend uživatel, je prozatím míra ohrožení nízká.

3. Riziko vložení obsahu do vyhledávacího modulu

Tento druh ohrožení postihuje všechny verze TYPOlight, které předcházejí v.2.8.2 a využívají vyhledávací modul. Za určitých okolností umožňuje narušitelům číst chráněné dokumenty prostřednictvím webového vyhledávání.

4. Ohrožení funkce PDF export během vzdáleného spuštění kódu

Jde o problém, ohrožující veškeré verze TYPOlight od 2.7 do 2.8.3., využívající funkci PDF export v kombinaci s modulem komentářů. Samotný modul komentářů, nebo funkce PDF export, nejsou ovlivněny. Zneužití je velmi zřetelné a měli byste jej zaznamenat během pročítání komentářů na backendu nebo frontendu.

Převedení změn do starších verzí TYPOlight

V aktuální verzi TYPOlight, tedy 2.8.3, jsou veškeré výše uvedené nedostatky odstraněny. Z bezpečnostních důvodů vám velmi doporučujeme vždy používat nejnovější verzi TYPOlight! Veškeré změny byly dále převedeny i do předcházejících verzí: 2.7.7 a 2.6.8. Starší verze TYPOlight (2.5, 2.4, či dokonce ještě starší) by neměly být nadále používány.

Přehled všech změn naleznete v ticket system či changelog.

Aplikaci stahujte na sourceforge.net. Download

Jdi zpět

Přidat komentář