Actualización de seguridad para 4.5 LTS, 4.7, 6.1 y 6.2 LTS a causa de la biblioteca OpenID y Swiftmailer
Las actualizaciones están disponibles para las versiones de TYPO3 CMS actualmente soportadas. Estos corrigen los factores relevantes para la seguridad, así como los errores. Se han puesto a disposición las versiones 4.5.37 LTS, 4.7.20, 6.1.12 y 6.2.6 LTS.
OpenID
Extensión del sistema El subcomponente OpenID permite a los atacantes leer archivos, enviar llamadas HTTP a servidores de la intranet o realizar un ataque de denegación de servicio (CPU y memoria).
Las versiones vulnerables deben estar protegidas por la actualización proporcionada. Como alternativa, se puede desactivar la extensión del sistema OpenID, pero esto no parece ser suficiente.
Extensión de la biblioteca Swiftmailer
El subcomponente de la biblioteca Swiftmailer puede ser utilizado para ataques que permiten comandos de shell a través del encabezado "From". Las instalaciones de TYPO3 afectadas estaban configuradas de la siguiente manera:
$GLOBALS['TYPO3_CONF_VARS']['MAIL']['transporte']
Las instalaciones con la configuración por defecto no se ven afectadas. Actualizando las versiones desde el TER o los repositorios GIT correspondientes, TYPO3 vuelve a ser seguro.
Más información:
