ExtraScriptsРелизы и описания веб-скриптов
|
|
Команда разработчиков TYPO3 выпустила новый релиз TYPO3 4.2.9, который доступен для скачивания с официального сайта TYPO3. Этот релиз является промежуточным в текущей стабильной ветке TYPO3 4.2 и содержит в себе только исправления уже известных багов.
скачать TYPO3 4.2.9 (Source + dummy) | download TYPO3 4.2.9 (Source + dummy)
Команда разработчиков TYPO3 объявила о выходе второго альфа-релиза TYPO3 4.3.
Перечень новшеств и обновлений:
Скачать TYPO3 4.3 Alpha 2 можно c официального сайта [http://typo3.org/download/packages]
Разработчики TYPO3 объявили о выходе релизов TYPO3 4.2.6, TYPO3 4.1.10 и TYPO3 4.0.12.
Все эти релизы являются промежуточными и содержат исправления ошибок и уязвимостей в системе безопасности.
Внимание: Эти релизы содержат важное исправление системы безопасности.
Оригинал статьи тут: [http://news.typo3.org/news/article/typo3-426-4110-and-4012/]
Детали по безопасности тут: [http://typo3.org/teams/security/security-bulletins/typo3-sa-2009-002/]
Стало известно, что в ядре TYPO3 присутствует уязвимость, позволяющая получать доступ к файлам находящимся на том же сайте, на котором развернута TYPO3.
Версии TYPO3 подверженные уязвимости: 3.3.x, 3.5.x, 3.6.x, 3.7.x, 3.8.x, 4.0 to 4.0.11, 4.1.0 to 4.1.9, 4.2.0 to 4.2.5, 4.3alpha1
Описание проблемы: уязвимость, позволяющая получать доступ к скрытой информации, была обнаруженна в механизме jumpUrl, который используется для контроля доступа к веб-страницам и файлам. Эта уязвимость позволяет удаленному хакеру получить содержимое файлов с веб-сайта.
Оказалось, что ожидаемое значение хэш ключа, необходимого для получения доступа к файлам, можно легко подменить на корректное значение, получив тем самым необходимый доступ. Для того чтобы воспользоваться этой уязвимостью даже не нужно авторизовываться на сайте. Использую эту дырку в системе безопасности можно получить сожержимое любого файла к которому есть доступ у пользователя на веб-сервере.
Возможные последствия: Таким образом хакер может получить доступ к любому файлу, имеющему отношение к веб-сайту, например, к typo3conf/localconf.php, в котором хранятся и пароль к установочному модулю и имя пользователя и пароль к базе данных.
Используя rainbow tables, хакер может залогиниться в установочный модуль и оттуда перехватить управление всем сайтом.
Для получения деталей по безопасности TYPO3 в обратитесь к разделу «Other recommendations» в инструкции по установке.
Команда разработчиков TYPO3, отвечающих за безопасность системы, обнаружила критическую ошибку (critical security issue) в ядре TYPO3. В связи с этим во вторник 10 февраля в 9:00 GMT планируется выход сразу нескольких апдейтов и заплаток:
Так как исправления связаны с очень серьезной ошибкой в системе безопасности, всем пользователям рекомендуется произвести апдейт их инсталляций TYPO3 во вторник сразу после выхода обновлений.
Оригинальная статья: [http://news.typo3.org/news/article/important-security-bulletin-pre-announcement/]
