Russian TYPO3 community - TYPO3 Security Bulletin TYPO3-20061220-1: Remote Command Execution in TYPO3

Russian TYPO3 community (http://forum.typo3.ru/index.php)

- Новости TYPO3 (на английском) (http://forum.typo3.ru/forumdisplay.php?f=31)

- - TYPO3 Security Bulletin TYPO3-20061220-1: Remote Command Execution in TYPO3 (http://forum.typo3.ru/showthread.php?t=2299)

RSS Bot

20.12.2006 22:42

TYPO3 Security Bulletin TYPO3-20061220-1: Remote Command Execution in TYPO3

Component Type: System Extension (TYPO3 Versions 4.0-4.0.3, 4.1beta) Third Party Extension (TYPO3 Versions up to 3.8.1). SinceTYPO3 Version 4.0 the extension is part of the TYPO3...

More...

Tod	24.12.2006 22:57

Вопросы к тем, кто разобрался что к чему:
1. Быстрое устранение ошибки - это удалить 'class.tx_rtehtmlarea_pi1.php' - за что он отвечает и какие будет последствия при работе с редактором после удаления?
Или удаление ничего не поменяет и этого вполне хватит для безопасности?
2. Обязательное ли обновление ядра системы? или это просто пожелания автора и хватит всего обновить расширение htmlarea до той или иной версии?

PhilD

25.12.2006 00:12

если я правильно понял - достаточно обновления редактора
удаление - это если нет возможности обновить расширение

void	25.12.2006 00:37

После удаления файла перестанет работать проверка орфографии средствами aspell.
Обновить нужно только rtehtmlarea. Вопрос в том, что это расширение является в 4.0.x системным (лежит в typo3/sysext). По умолчанию обновление системных расширений запрещено в install tool, а новые версии таких расширений устанавливаются как локальные в typo3conf/. Поэтому нужно разрешить обновление системных расширений, либо скачать 4.0.4 source пакет и переставить симлинки.

Tod	25.12.2006 00:45

Спасибо за ответы. Все прояснилось.

Цитата:

Сообщение от void (Сообщение 8753)

После удаления файла перестанет работать проверка орфографии средствами aspell.

Интересно много кто этим пользуется?))

Tod	25.12.2006 14:17

Цитата:

Сообщение от void (Сообщение 8753)

Поэтому нужно разрешить обновление системных расширений, либо скачать 4.0.4 source пакет и переставить симлинки.

На typo3.org пишут :

Цитата:

Quick Fix (apply only as a last resort when TYPO3 and/or the extension can't be updated immidiately):
Delete the file 'class.tx_rtehtmlarea_pi1.php'.
The file 'class.tx_rtehtmlarea_pi1.php' can be found in one or more of the following locations:
PATH_TO_YOUR_SITE/typo3/sysext/rtehtmlarea/pi1
PATH_TO_YOUR_SITE/typo3/ext/rtehtmlarea/pi1
PATH_TO_YOUR_SITE/typo3conf/ext/rtehtmlarea/pi1

Посему думаю просто удалить ненужный файл в системном расширении, а обновить установленное локально - этого достаточно?

void	26.12.2006 00:44

Да, этого должно быть достаточно.

Часовой пояс GMT +4, время: 08:57.