Первая исправленная ошибка связана с тем что была обнаруженна потенциальная XSS уязвимость в административных компонентах Joomla – com_admin, com_media, com_search. Вторая ошибка связана с XSS уязвимостью в компоненте com_content. Дополнительной информации относительно того, подвержены ли этим ошибкам предыдущие версии, не сообщается, но в любом случае рекомендуется обновиться до релиза Joomla 1.5.10 с кодовым обозначением Wohmamni.

Среди прочих изменений важно отметить исправление ошибки в поиске слов с заглавной буквой Р (подробное описание проблемы можно найти на форумах по ключевым словам: preg_replace() и заглавная русская Р).

Скачать Joomla 1.5.10 Wohmamni | Download Joomla 1.5.10 Wohmamni

Версии TYPO3 подверженные уязвимости: 3.3.x, 3.5.x, 3.6.x, 3.7.x, 3.8.x, 4.0 to 4.0.11, 4.1.0 to 4.1.9, 4.2.0 to 4.2.5, 4.3alpha1

 Описание проблемы: уязвимость, позволяющая получать доступ к скрытой информации, была обнаруженна в механизме jumpUrl, который  используется для контроля доступа к веб-страницам и файлам. Эта уязвимость позволяет удаленному хакеру получить содержимое файлов с веб-сайта.

Оказалось, что ожидаемое значение хэш ключа, необходимого для получения доступа к файлам, можно легко подменить на корректное значение, получив тем самым необходимый доступ. Для того чтобы воспользоваться этой уязвимостью даже не нужно авторизовываться на сайте. Использую эту дырку в системе безопасности можно получить сожержимое любого файла к которому есть доступ у пользователя на веб-сервере.

Возможные последствия: Таким образом хакер может получить доступ к любому файлу, имеющему отношение к веб-сайту, например, к typo3conf/localconf.php, в котором хранятся и пароль к установочному модулю и имя пользователя и пароль к базе данных.

Используя rainbow tables, хакер может залогиниться в установочный модуль и оттуда перехватить управление всем сайтом.

Для получения деталей по безопасности TYPO3 в обратитесь к разделу «Other recommendations» в инструкции  по установке.

Решение:

Вы можете выбрать одно из приведенных ниже решений:

1) Произвести апдейт TYPO3 до версий 4.0.12, 4.1.10 or 4.2.6, или

2) Использовать shell script fix_10364.sh (md5 sum: 0cbd0aac72e624cb3dd6673a01f85320,  документация внутри файла) для того чтобы он автоматичеси заменил уязвимые строчки в нужных файлах, или

3) Применить один их патчей указанных ниже (с учетом версии, которую Вы используете), или

4) Отредактировать файл class.tslib_fe.php следуя приведенным ниже инструкциям:

Оригинал новости тут: [http://news.typo3.org/news/article/information-disclosure-xss-in-typo3-core/]
Подробности тут: [http://typo3.org/teams/security/security-bulletins/typo3-sa-2009-002/]

• апдейты для TYPO3 версий 4.2.x, 4.1.x and 4.0.x
• заплатки (patches) для версий 3.3, 3.5, 3.6, 3.7, 3.8 and 4.3alpha1

Так как исправления связаны с очень серьезной ошибкой в системе безопасности, всем пользователям рекомендуется произвести апдейт их инсталляций TYPO3 во вторник сразу после выхода обновлений.
Оригинальная статья: [http://news.typo3.org/news/article/important-security-bulletin-pre-announcement/]