Pengembang TYPO3 Memperingatkan Adanya Lubang Keamanan Kritis

 •  1   • 114 

Tim pengembang TYPO3 mengumumkan bahwa ada bug kritikal di content management system TYPO3 yang memungkinkan penyerang untuk masuk ke server. Kurangnya pengecekan pada parameter BACK_PATH pada file AbstractController.php memungkinkan penyerang untuk mengunggah dan mengeksekusi skrip PHP semaunya (Remote File Inclusion). Pengembang juga menginformasikan bahwa penyerang sudah menncoba melakukan intrusi ke server-server dalam skala besar.

TYPO3 versi 4.5.0 dan 4.5.8 dan juga 4.6.0 dan 4.6.1 rentan terhadap serangan ini tetapi hanya jika variabel PHP register_globals, allow_url_include dan allow_url_fopen diset. Hanya variable terakhir dari variabel-variable ini dinyalakan secara default. Tim Pengembang terlah merilis patch dan versi koreksi 4.5.9 dan 4.6.2. Alternatif lainnya, pengguna dapat mengimplementasikan mod_security rule seperti yang dijelaskan dalam <a href="https://typo3.org/teams/security/security-bulletins/typo3-core/typo3-core-sa-2011-004/">saran</a> pengembang.

Via :