Mise à jour de sécurité pour 4.5 LTS, 4.7, 6.1 et 6.2 LTS à cause d'OpenID et de la bibliothèque Swiftmailer
Des mises à jour sont disponibles pour les versions de TYPO3 CMS actuellement prises en charge. Celles-ci corrigent non seulement des facteurs liés à la sécurité, mais aussi des bugs. Les versions 4.5.37 LTS, 4.7.20, 6.1.12 et 6.2.6 LTS ont été mises à disposition.
OpenID
System Extension Le sous-composant OpenID permet aux attaquants de lire des fichiers, d'envoyer des appels HTTP à des serveurs Intranet ou d'effectuer une attaque par déni de service (CPU et mémoire).
Les versions vulnérables doivent être protégées par la mise à jour fournie. Il est également possible de désactiver l'extension système OpenID, mais cela ne semble pas suffisant.
Swiftmailer library Extension
Le sous-composant Swiftmailer library peut être utilisé pour des attaques permettant des commandes shell via l'en-tête "From". Les installations TYPO3 concernées ont été configurées comme suit :
$GLOBALS['TYPO3_CONF_VARS']['MAIL']['transport'].
Les installations avec la configuration standard ne sont pas concernées. La mise à jour des versions à partir du TER ou des dépôts GIT correspondants permet de rétablir la sécurité de TYPO3.
Plus d'informations sur le sujet :
