Sécurité

Failles de sécurité sur plusieurs extensions

Publié le

Au delà des mises à jour du Core TYPO3, il est primordial de mettre à jour également les extensions d’une instance. Combien de fois ai-je vu dans les logs d’un serveur des adresses IP suspectes de machines qui tentent d’exploiter les failles de différentes extensions. En effet, je suppose que ces programmes comportent une base de données d’extensions TYPO3, un dictionnaire, avec des failles identifiées et des injections de code PHP sont directement opérées dans des fichiers de l’extension… d’où l’appel suspect car jamais un internaute irait consulter directement une classe PHP plusieurs fois de suite en quelques secondes… Les IP sont localisées en Chine, en Amérique du Sud ou en Europe de l’est.

Bref, en début de mois, plusieurs alertes ont été publiées et l’une sur une extension que j’affectionne : ke_search. Cette extension dépasse les limites d’indexed_search et c’est un vrai moteur d’indexation qui ne va pas utiliser un crawler et créer un dictionnaire avec des pages mises en cache ; ke_search (ou Faceted Search d’ailleurs) va directement consulter la base de données.
On va créer des enregistrements de type « indexation » en précisant l’extension listée depuis un formulaire (d’où la connaissances des tables à indexer), remplir un champ où il faudra indiquer la page détail, un champ contenant l’ensemble des données à indexer (sysfolder de News par exemple) et un champ qui contient l’ensemble des données indexées.

Si vous souhaitez mettre rapidement en place un moteur de recherche avec filtres qui peut également prendre en compte les catégories (table sys_category), entièrement configurable depuis un flexform, et surtout, sans passer par une usine comme SOLR, alors c’est une très bonne solution que je vous recommande 🙂 Et n’oubliez pas de mettre à jour vos extensions !

Voir les bulletins de sécurité TYPO3

Publicités

Et une nouvelle mise à jour de TYPO3 !

Publié le Mis à jour le

Un bulletin de sécurité a été publié ce jour. Le voici : http://typo3.org/teams/security/security-bulletins/typo3-core/typo3-core-sa-2012-002/

Des extensions qui utilisent le framework MVC Extbase sont vulnérables à l’exploitation d’une faille dans le gestionnaire d’exceptions. La faille peut également être exploitée dans d’autres extensions qui font appel à ce traitement des exceptions. Une mise à jour de TYPO3 est donc disponible (et recommandée) depuis aujourd’hui pour les branches 4.4, 4.5 et 4.6 : 4.4.15, 4.5.15 et 4.6.8

Télécharger TYPO3

Multiples failles de vulnérabilité du Core et mise à jour de TYPO3

Publié le

Comme l’indique le communiqué sur news.typo3.org, de multiples failles de sécurité ont été découvertes dans TYPO3. Le Core est affecté donc, on n’attend pas et on télécharge de suite sa version de TYPO3 ! Les branches 4.3, 4.4 et 4.5 sont à jour. A noter la fin prochaine du support de la version 4.3.

Faille de sécurité décelée (fe_adminLib.inc)

Publié le

Une faille de sécurité à été décelée dans le fichier fe_adminLib.inc, classe dont la tâche consiste à afficher des formulaires dans le frontend de TYPO3. Ainsi, une faille de vulnérabilité de type Cross Site Scripting permettrait à un individu malintentionné d’injecter du code depuis un serveur distant.
Vous pouvez télécharger le fichier suivant pour écraser l’ancien ou bien télécharger le patch à cette adresse. La manipulation concerne aussi bien TYPO3 4.0 que TYPO 3.8x.

TYPO3.8x
typo3/sysext/cms/tslib/media/scripts/fe_adminLib.inc
tslib/media/scripts/fe_adminLib.inc
media/scripts/fe_adminLib.inc

TYPO3 4.0
typo3/sysext/cms/tslib/media/scripts/fe_adminLib.inc

Source : typo3.org

TYPO3 et la sécurité

Publié le

Michael Hirdes et Ekkehard Guembel ont publié un petit manuscrit sur la sécurité et TYPO3. Ca ne fait que 5 pages, c’est assez basique certes, mais c’est un bon début pour ceux qui n’ont pas vraiment touché à TYPO3.
 
Télechargement au format PDF :