ExtraScripts

Вышел новый релиз безопасности популярной системы управления контентом сайта CMS Joomla! – Joomla 1.5.10 [Wohmamni]. В этой версии исправлены 66 багов, обнаруженных при тестировании предыдуших релизов линейки Joomla 1.5.x. Cреди исправленных ошибок есть две, связанные с безопасностью системы. Разработчики Joomla настоятельно рекомендуют обновиться до этой последней версии продукта.

Первая исправленная ошибка связана с тем что была обнаруженна потенциальная XSS уязвимость в административных компонентах Joomla – com_admin, com_media, com_search. Вторая ошибка связана с XSS уязвимостью в компоненте com_content. Дополнительной информации относительно того, подвержены ли этим ошибкам предыдущие версии, не сообщается, но в любом случае рекомендуется обновиться до релиза Joomla 1.5.10 с кодовым обозначением Wohmamni.

Среди прочих изменений важно отметить исправление ошибки в поиске слов с заглавной буквой Р (подробное описание проблемы можно найти на форумах по ключевым словам: preg_replace() и заглавная русская Р).

Скачать Joomla 1.5.10 Wohmamni | Download Joomla 1.5.10 Wohmamni

ScriptMaster
Joomla
Joomla, Безопасность, Новый релиз

Стало известно, что в ядре TYPO3 присутствует уязвимость, позволяющая получать доступ к файлам находящимся на том же сайте, на котором развернута TYPO3.

Версии TYPO3 подверженные уязвимости: 3.3.x, 3.5.x, 3.6.x, 3.7.x, 3.8.x, 4.0 to 4.0.11, 4.1.0 to 4.1.9, 4.2.0 to 4.2.5, 4.3alpha1

 Описание проблемы: уязвимость, позволяющая получать доступ к скрытой информации, была обнаруженна в механизме jumpUrl, который  используется для контроля доступа к веб-страницам и файлам. Эта уязвимость позволяет удаленному хакеру получить содержимое файлов с веб-сайта.

Оказалось, что ожидаемое значение хэш ключа, необходимого для получения доступа к файлам, можно легко подменить на корректное значение, получив тем самым необходимый доступ. Для того чтобы воспользоваться этой уязвимостью даже не нужно авторизовываться на сайте. Использую эту дырку в системе безопасности можно получить сожержимое любого файла к которому есть доступ у пользователя на веб-сервере.

Возможные последствия: Таким образом хакер может получить доступ к любому файлу, имеющему отношение к веб-сайту, например, к typo3conf/localconf.php, в котором хранятся и пароль к установочному модулю и имя пользователя и пароль к базе данных.

Используя rainbow tables, хакер может залогиниться в установочный модуль и оттуда перехватить управление всем сайтом.

Для получения деталей по безопасности TYPO3 в обратитесь к разделу «Other recommendations» в инструкции  по установке.

читать далее: Решение проблемы

ScriptMaster
TYPO3
CMS (системы управления контентом сайта), TYPO3, Безопасность

Команда разработчиков TYPO3, отвечающих за безопасность системы, обнаружила критическую ошибку (critical security issue) в ядре TYPO3. В связи с этим во вторник 10 февраля в  9:00 GMT планируется выход сразу нескольких апдейтов и заплаток:

• апдейты для TYPO3 версий 4.2.x, 4.1.x and 4.0.x
• заплатки (patches) для версий 3.3, 3.5, 3.6, 3.7, 3.8 and 4.3alpha1

Так как исправления связаны с очень серьезной ошибкой в системе безопасности, всем пользователям рекомендуется произвести апдейт их инсталляций TYPO3 во вторник сразу после выхода обновлений.
Оригинальная статья: [http://news.typo3.org/news/article/important-security-bulletin-pre-announcement/]

ScriptMaster
TYPO3
CMS (системы управления контентом сайта), TYPO3, Безопасность