URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 69308
[ Назад ]

Исходное сообщение
"В системе управления контентом TYPO3 устранено 14 опасных уя..."
Отправлено opennews , 29-Июл-10 21:48

В корректирующих релизах свободной системы управления web-контентом TYPO3 4.1.14, 4.2.13, 4.3.4 и 4.4.1 (http://typo3.org/news-single-view/?tx_newsimporter_pi1[...) устранено 14 уязвимостей (http://typo3.org/teams/security/security-bulletins/typo3-sa-...), среди которых несколько критических проблем, охватывающих почти все типы проблем безопасности в web-приложениях.

Найденные ошибки позволяют злоумышленнику выполнить свой SQL-код на сервере (проявляется только для пользователей которым открыт доступ на редактирование документов), инициировать отправку сообщения на любой email (можно использовать для рассылки спама), осуществить сброс пароля для другого пользователя, воспользоваться сессией другого пользователя, вставить произвольный JavaScript-код на страницу и выполнить произвольный PHP-код на сервере (можно загрузить вместо картинки .phtml файл и обратиться к нему).
URL: http://secunia.com/advisories/40742/
Новость: http://www.opennet.me/opennews/art.shtml?num=27473

Содержание

В системе управления контентом TYPO3 устранено 14 опасных уя...,yopt, 21:48 , 29-Июл-10
- В системе управления контентом TYPO3 устранено 14 опасных уя...,User294, 01:53 , 30-Июл-10
В системе управления контентом TYPO3 устранено 14 опасных уя...,Аноним, 22:23 , 29-Июл-10
В системе управления контентом TYPO3 устранено 14 опасных уя...,zoonman, 10:19 , 30-Июл-10
- В системе управления контентом TYPO3 устранено 14 опасных уя...,User294, 16:57 , 30-Июл-10
В системе управления контентом TYPO3 устранено 14 опасных уя...,Аноним, 21:10 , 30-Июл-10

Сообщения в этом обсуждении

"В системе управления контентом TYPO3 устранено 14 опасных уя..."
Отправлено yopt , 29-Июл-10 21:48

вот и чудненько. что исправили

"В системе управления контентом TYPO3 устранено 14 опасных уя..."
Отправлено User294 , 30-Июл-10 01:53

Остается только вопрос - сколько дыр у них осталось, если 14 заткнули. Все-таки от server-side софта как-то хочется меньшей дырявости. Потому как ему не всегда можно уделять пристальное внимание. И если какойнить браузер я могу без проблем обновить, раз уж я за монитором и намерен поюзать оный, серверного софта это как-то не касается, т.к. он работает и тогда когда я, его админ - где-то за тридевять земель.

"В системе управления контентом TYPO3 устранено 14 опасных уя..."
Отправлено Аноним , 29-Июл-10 22:23

altlinux.ru под TYPO3 крутится. Говорил им, не ставьте TYPO3, он безнадежно дыряв, не верили.

"В системе управления контентом TYPO3 устранено 14 опасных уя..."
Отправлено zoonman , 30-Июл-10 10:19

Никто не застрахован от ошибок.
В ядрах находят уязвимости, а пишут их Профессионалы, с которыми быдлокодерам даже тягаться не стоит.
Хуже всего то, что многие обучающие примеры приведены именно с небезопасным программированием. А так как PHP прост в изучении так же, как и Basic, его активно используют начинающие, мало соображающие о подводных камнях при программировании server side приложений.

"В системе управления контентом TYPO3 устранено 14 опасных уя..."
Отправлено User294 , 30-Июл-10 16:57

> Никто не застрахован от ошибок.
Все так, но 14 дыр за версию - имхо чутка перебор для продукта который вывешен в инет 24/7 а стало быть - хаксоры могут делать с ним все что угодно.

"В системе управления контентом TYPO3 устранено 14 опасных уя..."
Отправлено Аноним , 30-Июл-10 21:10

гы, нашли баги, доступные тем, кто имеет права на редактирование.