Autenticación LDAP / SSO ig_ldap_sso_auth con vulnerabilidad de seguridad

Debido a una vulnerabilidad de seguridad en la extensión de TYPO3 ig_ldap_sso_auth, hoy se ha enviado el primer boletín de seguridad de 2015. La versión 2.0.0 es vulnerable a la autenticación no autorizada.

Versión afectada: 2.0.0

Riesgo de seguridad: Crítico

Solución: Actualizar a la última versión 2.0.1

De momento no está claro por qué el boletín de seguridad no se ha enviado hasta hoy. La versión 2.0.1 ya está disponible en el TER desde el 19.12.2014.

Descarga de la extensión TYPO3

 

TYPO3 y LDAP
La conexión a un servicio de directorio LDAP (Lightweight Directory Access Protocol) permite a los usuarios del frontend (FE-Users) y del backend (BE-Users) utilizar la misma contraseña para TYPO3 que para otros servicios o en la estación de trabajo. Si la contraseña se cambia en una ubicación central, todos los inicios de sesión de los diferentes sistemas se actualizan con una sola acción. Por lo tanto, LDAP es utilizado principalmente por las grandes empresas que cuentan con la correspondiente infraestructura técnica.

La extensión de TYPO3 ig_ldap_sso_auth permite además el inicio de sesión único (SSO). Esta funcionalidad permite a los usuarios cambiar a otro sistema después de un inicio de sesión exitoso en un sistema, sin volver a autenticarse. Con ig_ldap_sso_auth, se puede solicitar un servidor de MS Windows en segundo plano. Para ello, se requiere la autenticación NTLM como módulo de Apache2 en el servidor.