Failles de sécurité sur plusieurs extensions

Publié le

Au delà des mises à jour du Core TYPO3, il est primordial de mettre à jour également les extensions d’une instance. Combien de fois ai-je vu dans les logs d’un serveur des adresses IP suspectes de machines qui tentent d’exploiter les failles de différentes extensions. En effet, je suppose que ces programmes comportent une base de données d’extensions TYPO3, un dictionnaire, avec des failles identifiées et des injections de code PHP sont directement opérées dans des fichiers de l’extension… d’où l’appel suspect car jamais un internaute irait consulter directement une classe PHP plusieurs fois de suite en quelques secondes… Les IP sont localisées en Chine, en Amérique du Sud ou en Europe de l’est.

Bref, en début de mois, plusieurs alertes ont été publiées et l’une sur une extension que j’affectionne : ke_search. Cette extension dépasse les limites d’indexed_search et c’est un vrai moteur d’indexation qui ne va pas utiliser un crawler et créer un dictionnaire avec des pages mises en cache ; ke_search (ou Faceted Search d’ailleurs) va directement consulter la base de données.
On va créer des enregistrements de type « indexation » en précisant l’extension listée depuis un formulaire (d’où la connaissances des tables à indexer), remplir un champ où il faudra indiquer la page détail, un champ contenant l’ensemble des données à indexer (sysfolder de News par exemple) et un champ qui contient l’ensemble des données indexées.

Si vous souhaitez mettre rapidement en place un moteur de recherche avec filtres qui peut également prendre en compte les catégories (table sys_category), entièrement configurable depuis un flexform, et surtout, sans passer par une usine comme SOLR, alors c’est une très bonne solution que je vous recommande 🙂 Et n’oubliez pas de mettre à jour vos extensions !

Voir les bulletins de sécurité TYPO3

Publicités

Poster un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion / Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion / Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion / Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion / Changer )

Connexion à %s