TYPO3 Extension Calendar Base (cal) et fal_sftp vulnérables au déni de service
Pour représenter des événements dans TYPO3 , il existe quelques extensions qui sont à la hauteur de la tâche. L'extension cal, pour laquelle une mise à jour de sécurité est disponible depuis aujourd'hui, en fait partie.
L'attaque est possible parce que les entrées sont transmises sans vérification à la bibliothèque PCRE de PHP. En fonction de l'entrée, cela peut entraîner une utilisation importante des ressources du système.
cal
L'extension "cal" est vulnérable au déni de service. Vulnérabilité : moyenne Concerne : toutes les versions de 0.x.x, 1.0.x, 1.1.x, 1.2.x, 1.3.x, 1.4.x ; 1.5.8 et en dessous de 1.5.x ; 1.6.0 Solution : mise à jour à la version 1.5.9 (pour TYPO3 CMS 4.5.5 - 6.0.99) et 1.6.1 (pour TYPO3 CMS 6.1.0 - 6.2.99)
Bulletin de sécurité (anglais)
Téléchargement pour TYPO3 CMS 6.1.0 - 6.2.99
Télécharger pour TYPO3 CMS 4.5.5 - 6.0.99
Avec la version 6.2, le FAL (File Abstraction Layer) a été introduit dans le TYPO3 Core, qui doit pouvoir gérer plusieurs emplacements de mémoire (imaginables comme différents disques durs). La connexion à d'autres serveurs se fait via les protocoles FAL SFTP implémentés dans l'extension PHP ssh2. Une note de sécurité a été publiée aujourd'hui à ce sujet :
fal_sftp
L'extension "fal_sftp" est vulnérable au déni de service. Risque de sécurité : moyen Concerne : toutes les versions de 0.2.4 et 0.2.5 Solution : mise à jour à la version 0.2.6
vers le bulletin de sécurité (anglais)
Télécharger la version actuelle pour TYPO3 CMS
MISE À JOUR : une autre mise à jour de sécurité pour Dynamic Content Elements (dce) est sortie aujourd'hui.
dce
L'extension "dce" est vulnérable à la protection des données.
Risque de sécurité : faible
Concerne : toutes les versions de 0.7.x, 0.8.x, 0.9.x, 0.10.x, 0.11.4 et avant 0.11.x.
Solution : mise à jour à la version 0.11.5
