Бесплатно Экспресс-аудит сайта:

19.02.2015

В TYPO3 исправлена критическая уязвимость

В пятницу, 19 февраля, сообщество TYPO3  выпустило  внеплановое обновление для системы управления сайтами TYPO3 4.5.40, в котором исправлена критическая уязвимость. Эксплуатация бреши, обнаруженной исследователем Пьерриком Каиллоном (Pierrick Caillon), позволяет обойти систему аутентификации и авторизоваться с помощью одного только имени пользователя.

Уязвимыми являются версии с 4.3.0 по 4.3.14, с 4.4.0 по 4.4.15, с 4.5.0 по 4.5.39 и с 4.6.0 по 4.6.18 (в конфигурации по умолчанию не используются ни rsaauth, ни felogin).

Эксперты настоятельно рекомендуют обновить TYPO3 до версии 4.5.40. В качестве альтернативного решения можно использовать  скрипт  командной строки или  diff-файл  для установки патча вручную.

Напомним , что в этом месяце была обнаружена уязвимость нулевого дня в одном из плагинов для системы управления содержимым сайтов WordPress, эксплуатация которой позволяла обойти ограничения безопасности и скомпрометировать систему. 

Подробнее ознакомиться с описанием уязвимости можно  здесь .