скачать TYPO3 4.2.9 (Source + dummy) | download TYPO3 4.2.9 (Source + dummy)

Исправлен баг #11995: Prompt for keyboard input does not get displayed in CLI scripts
Исправлен баг #11224: Special menu directory only renders 1st level if special.value is a mount point (Thanks to Xavier Perseguers)
Исправлен баг #11986: dynamic update of translation status im EM is broken
Исправлен баг #9270: Editors can´t undelete records in history (thanks to Christian Hernmarck)
Исправлен баг #11915: htmlArea RTE: superfluous span tags in content after server-based cleaning on paste operation
Исправлено: htmlArea RTE version to 1.7.12 (branch TYPO3_4-2)
Дополнительно к багу #11946: htmlArea RTE: reference was made to context menu item after context menu was closed
Исправлен баг #11847: htmlArea RTE displays empty editing area in Opera 10
Исправлен баг #11946: htmlArea RTE: table properties editing dialogue windows loose focus after opening in IE8
Исправлен баг #11845: Typo in a CLI error mesage: suue -> sure (thanks to Oliver Klee)
Исправлен баг #11731: ENABLE_INSTALL_TOOL file check in yellow box does not check the file age (thanks to Moreno Feltscher)
Исправлен баг #11716: Install Tool always sets TYPO3_CONF_VARS[FE][disableNoCacheParameter] upon save
Исправлен баг #8968: DBAL incompatible SQL in «impexp» extension (thanks to Marc Bastian Heinrichs)
Дополнительно к багу #11513: Shorten one ident field which is known to be too long (solved the issue on those setups where the DB is not updated)
Исправлен баг #11513: cache_hash table could not be filled because information field (ident) was too short (thanks to Ingo Schmitt)
Исправлен баг #10769: Wrong encoded email header (thanks to Ivan Kartolo)
Исправлен баг #11006: Tooltip for page path in Page/List module is missing (thanks to Steffen Gebert)
Исправлен баг #6875: IRRE – Sorting of child records is inverted on moving parent record to different page (thanks to Nabil Saleh)
Исправлен баг: same error message is used twice for different errors
Исправлен баг #11412: Using typolinkLinkAccessRestrictedPages does not take different domain names into account

Перечень новшеств и обновлений:

• Интеграция библиотеки ExtJS
  Теперь библиотека ExtJS включена в поставку Typo3 как стандартная библиотека виджетов. С ее помощью разработчики могут с легкостью создавать красивые пользовательские интерфейсы используя уже существующие объекты. Например, ExtJS поддерживает таблицы, диалоговые окна и динамические панели. В данном релизе эта библиотека используется для отображения диалога, сообщающего о том, что  пользовательская сессия истекла.
• Добавлено встроенное логгирование обращений к устаревшим функциям
• Обновлен механизм кеширования
• Итеграция геренатора случайных чисел для криптографических операций в ядре Typo3 или в расширениях
• Библиотеки сторонних производителей. В этот релиз включены обновленные библиотеки JavaScript: prototype 1.6.0.3 и script.aculo.us 1.8.2.
• Улучшен механизм восстановления удаленных записей.
• Некоторые улучшения в RTEhtmlarea
• Добавлена возможность блокировки админской части на время технического обслуживания сайта
• Заменен диалог информирующий пользователей о том, что сессия принудительно завершена по истечению опрделенного времени

Скачать TYPO3 4.3 Alpha 2 можно c официального сайта [http://typo3.org/download/packages]

Все эти релизы являются промежуточными и содержат исправления ошибок и уязвимостей в системе безопасности.
Внимание: Эти релизы содержат важное исправление системы безопасности.

Оригинал статьи тут: [http://news.typo3.org/news/article/typo3-426-4110-and-4012/]

Детали по безопасности тут: [http://typo3.org/teams/security/security-bulletins/typo3-sa-2009-002/]

Версии TYPO3 подверженные уязвимости: 3.3.x, 3.5.x, 3.6.x, 3.7.x, 3.8.x, 4.0 to 4.0.11, 4.1.0 to 4.1.9, 4.2.0 to 4.2.5, 4.3alpha1

 Описание проблемы: уязвимость, позволяющая получать доступ к скрытой информации, была обнаруженна в механизме jumpUrl, который  используется для контроля доступа к веб-страницам и файлам. Эта уязвимость позволяет удаленному хакеру получить содержимое файлов с веб-сайта.

Оказалось, что ожидаемое значение хэш ключа, необходимого для получения доступа к файлам, можно легко подменить на корректное значение, получив тем самым необходимый доступ. Для того чтобы воспользоваться этой уязвимостью даже не нужно авторизовываться на сайте. Использую эту дырку в системе безопасности можно получить сожержимое любого файла к которому есть доступ у пользователя на веб-сервере.

Возможные последствия: Таким образом хакер может получить доступ к любому файлу, имеющему отношение к веб-сайту, например, к typo3conf/localconf.php, в котором хранятся и пароль к установочному модулю и имя пользователя и пароль к базе данных.

Используя rainbow tables, хакер может залогиниться в установочный модуль и оттуда перехватить управление всем сайтом.

Для получения деталей по безопасности TYPO3 в обратитесь к разделу «Other recommendations» в инструкции  по установке.

Решение:

Вы можете выбрать одно из приведенных ниже решений:

1) Произвести апдейт TYPO3 до версий 4.0.12, 4.1.10 or 4.2.6, или

2) Использовать shell script fix_10364.sh (md5 sum: 0cbd0aac72e624cb3dd6673a01f85320,  документация внутри файла) для того чтобы он автоматичеси заменил уязвимые строчки в нужных файлах, или

3) Применить один их патчей указанных ниже (с учетом версии, которую Вы используете), или

4) Отредактировать файл class.tslib_fe.php следуя приведенным ниже инструкциям:

Оригинал новости тут: [http://news.typo3.org/news/article/information-disclosure-xss-in-typo3-core/]
Подробности тут: [http://typo3.org/teams/security/security-bulletins/typo3-sa-2009-002/]

• апдейты для TYPO3 версий 4.2.x, 4.1.x and 4.0.x
• заплатки (patches) для версий 3.3, 3.5, 3.6, 3.7, 3.8 and 4.3alpha1

Так как исправления связаны с очень серьезной ошибкой в системе безопасности, всем пользователям рекомендуется произвести апдейт их инсталляций TYPO3 во вторник сразу после выхода обновлений.
Оригинальная статья: [http://news.typo3.org/news/article/important-security-bulletin-pre-announcement/]