安全公告 12月20日 Typo3 可以让攻击者任意插入命令执行
[译文]Typo3开发人员对一个严重安全漏洞发出了警告。利用这个漏洞,攻击者可以任意地将命令插入系统。问题出自于扩展件rtehtmlarea。 它对用户提交的参数没有进行充分的过滤。自Typo3 4.0 起这个插件成为是系统标准插件。在4.0之前的系统中这个模块则是可选的。
这个模块使用系统工具aspell 进行句法检查并通过系统调用的方式执行它。通过刻意设定的参数,攻击者可以利用它将自己的命令提交给服务器并让服务器执行这些命令。据漏洞的发现者,SEC咨询公司,介绍,执行过程中没有遇到被要求认证。攻击成功的条件则是PHP的安全选项safe_mode 是关闭(OFF)的。更进一步的信息可以在Typo3的安全公告Security Bulletin 中找到。问题涉及所有当前的版本 4.0 和 4.1 beta 1 以及3.7.x 和3.8.x。在Typo3服务器上已经有补丁供下载。
Typo3小组到目前为止还没有说明,是否该漏洞事前已经被攻击者识破和利用。但是由于这个严重错误,他们紧急建议用户迅速更新他们的安装系统。
Typo3该安全公告的网址是:[url=http://news.typo3.org/news/article/typo3-security-bulletin-typo3-20061220-1-remote-command-execution-in-typo3/]http://news.typo3.org/news/artic ... execution-in-typo3/[/url]
原文出自网站Heise.de [url=http://www.heise.de/newsticker/meldung/82819]http://www.heise.de/newsticker/meldung/82819[/url]
[[i] 本帖最后由 jiling 于 2006-12-21 02:30 编辑 [/i]] 新版本的RTEHTMLAREA 已放出来了,1.4.3版 :) 昨晚已经更新了.不过好像还有问题没解决.时刻关注. 建议 弄个 链接和翻译Typo3公告 的栏目,让所有安装了Typo3的朋友 都能即时了解Typo3的信息。 [quote]原帖由 [i]jiling[/i] 于 2006-12-21 15:37 发表
建议 弄个 链接和翻译Typo3公告 的栏目,让所有安装了Typo3的朋友 都能即时了解Typo3的信息。 [/quote]
同意,jiling愿不愿意出任版主负责这块? 谢谢支持,我会尽力积极参与。做版主责任,压力太大。现在还不合适,不过一定积极努力。
页:
[1]