TYPO3 Extension Calendar Base (cal) y fal_sftp vulnerables a la denegación de servicio
Hay algunas extensiones que están a la altura de la tarea de mapear eventos en TYPO3 . Una de ellas es la extensión cal, para la que está disponible desde hoy una actualización de seguridad.
El ataque es posible porque la entrada se reenvía a la biblioteca PCRE de PHP sin ser comprobada. Dependiendo de la entrada, esto puede suponer una gran carga para los recursos del sistema.
cal
La extensión "cal" es vulnerable a la denegación de servicio. Riesgo de seguridad: Medio Preocupaciones: todas las versiones de 0.x.x, 1.0.x, 1.1.x, 1.2.x, 1.3.x, 1.4.x; 1.5.8 y por debajo de 1.5.x; 1.6.0 Solución: Actualizar a la versión 1.5.9 (para TYPO3 CMS 4.5.5 - 6.0.99) y 1.6.1 (para TYPO3 CMS 6.1.0 - 6.2.99)
Descarga para TYPO3 CMS 6.1.0 - 6.2.99
Descarga para TYPO3 CMS 4.5.5 - 6.0.99
Con la versión 6.2, se introdujo la FAL (File Abstraction Layer) en el núcleo de TYPO3, que se supone que puede gestionar varias ubicaciones de almacenamiento (imaginables como diferentes discos duros). La conexión de otros servidores a través de la extensión PHP ssh2 implementado protocolos FAL SFTP. Hoy hubo un aviso de seguridad sobre esto:
fal_sftp
La extensión "fal_sftp" es vulnerable a la denegación de servicio. Riesgo de seguridad: Medio Preocupación: todas las versiones de 0.2.4 y 0.2.5 Solución: Actualizar a la versión 0.2.6
al boletín de seguridad (inglés)
Descargar la versión actual para TYPO3 CMS
ACTUALIZACIÓN: Hoy se ha publicado otra actualización de seguridad para Dynamic Content Elements (dce).
dce
La extensión "dce" es vulnerable a la protección de datos.
Riesgo de seguridad: Bajo
Afecta a: todas las versiones de 0.7.x, 0.8.x, 0.9.x, 0.10.x, 0.11.4 y anteriores a 0.11.x
Solución: Actualizar a la versión 0.11.5
