[TYPO3-announce] Security Bulletin TYPO3-20061010-1: fe_adminLib.inc

12.10.2006, 05:46	#1
Дылгеров Ц.В. Senior Member Регистрация: 14.11.2005 Адрес: Улан-Удэ Сообщений: 158	[TYPO3-announce] Security Bulletin TYPO3-20061010-1: fe_adminLib.inc Может стоит создать раздел на форуме типа "Безопасность" и перечислять уязвимости? Пришло по рассылке ----- Forwarded message from Michael Hirdes <dodger/typo3.org> ----- Date: Tue, 10 Oct 2006 15:43:07 +0200 From: Michael Hirdes <dodger/typo3.org> To: typo3-announce/lists.netfielders.de Subject: [TYPO3-announce] Security Bulletin TYPO3-20061010-1: fe_adminLib.inc Dear users of TYPO3, A Cross-Site-Scripting (XSS) problem has been discovered in fe_adminLib.inc The "backURL" parameter is not escaped correctly. A prepared URL could potentially contain some unwanted JavaScript code. A patched Version has been released under [1] The upcoming release 4.0.3 of TYPO3 will contain this patch. Please see [1] for instruction how to patch your installations. Also the TYPO33 Security Cookbook has been released under [2] please have a look at this. on behalf of the Security Team, Michael Hirdes [1] http://typo3.org/teams/security/secu...o3-20061010-1/ [2] http://typo3.org/teams/security/ -- TYPO3 Security Team http://typo3.org/teams/security _______________________________________________ TYPO3-announce mailing list TYPO3-announce/lists.netfielders.de http://lists.netfielders.de/cgi-bin/...typo3-announce ----- End forwarded message ----- -- ---- WBR, Michael Shigorin <mike@altlinux.ru> ------ Linux.Kiev http://www.linux.kiev.ua/ _______________________________________________ TYPO3-russia mailing list TYPO3-russia@lists.netfielders.de http://lists.netfielders.de/cgi-bin/...o/typo3-russia

25.10.2006, 13:18

Дылгеров Ц.В.

Senior Member

Регистрация: 14.11.2005

Адрес: Улан-Удэ

Сообщений: 158

Отправить сообщение для Дылгеров Ц.В. с помощью ICQ

возможно ли?

http://www.altaforum.ru/showthread.php?t=268&page=2

Цитата:

Цитата:

2006-09-06 13:12:04. 50% сайтов с typo3 ломаются. cms то хорошая, но когда всякие школьники к ней модули пишут...

в ней пароль передается хешифрованным (шифруется на клиентской стороне), зная хэш пароля - ты админ.

я в свое вермя ломанул оф сайт typo3 и стащил оттуда пару модулей, там же и логи потер

интересно как он похищал чужие хеши?

Последний раз редактировалось Дылгеров Ц.В.; 25.10.2006 в 13:21

26.10.2006, 01:16

Valery Romanchev

Administrator

Регистрация: 23.08.2003

Адрес: Moscow, Russia

Сообщений: 1,926

Отправить сообщение для Valery Romanchev с помощью Skype™

Цитата:

Сообщение от Дылгеров Ц.В.

http://www.altaforum.ru/showthread.php?t=268&page=2

Цитата:

интересно как он похищал чужие хеши?

Как я понимаю, все что идет по http можно похитить, если сидишь в той же локальной сети
Поэтому, если актуальна безопасность - надо юзать https

На эту тему в Install Tool есть:

Цитата:

[lockSSL]
Int. 0,1,2,3: If set (1+2+3), the backend can only be operated from an ssl-encrypted connection (https). Set to 2 you will be redirected to the https admin-url supposed to be the http-url, but with https scheme instead. If set to 3, only the login is forced to SSL, then the user switches back to non-SSL-mode

[loginSecurityLevel]
String. Keywords that determines the security level of login to the backend. "normal" means the password from the login form is sent in clear-text, "challenged" means the password is not sent but hashed with some other values, "superchallenged" (default) means the password is first hashed before being hashed with the challenge values again (means the password is stored as a hashed string in the database also). DO NOT CHANGE this value manually; without an alternative authentication service it will only prevent logins in TYPO3 since the "superchallenged" method is hardcoded in the default authentication system.

Ну а что касается этого кул хацкера... Кто его знает, человеку 20 лет, не 14 ;-) - может и действительно что-то сломал... но модули то ему зачем? Дефейснул бы - прославился :-) А модули скачивать и логи потом тереть - это как-то странно.

__________________
Веб-студия ТТЛАБ
www.ttlab.ru