Russian TYPO3 community Форум больше не используется. Присоединяйтесь к каналу #community-ru в Slack for TYPO3 community  

Вернуться   Russian TYPO3 community > Обсуждение общих технических вопросов > Общие вопросы

Ответ
 
Опции темы Опции просмотра
Старый 12.10.2006, 05:46   #1
Дылгеров Ц.В.
Senior Member
 
Регистрация: 14.11.2005
Адрес: Улан-Удэ
Сообщений: 158
Отправить сообщение для Дылгеров Ц.В. с помощью ICQ
По умолчанию [TYPO3-announce] Security Bulletin TYPO3-20061010-1: fe_adminLib.inc

Может стоит создать раздел на форуме типа "Безопасность" и перечислять уязвимости?

Пришло по рассылке

----- Forwarded message from Michael Hirdes <dodger/typo3.org> -----

Date: Tue, 10 Oct 2006 15:43:07 +0200
From: Michael Hirdes <dodger/typo3.org>
To: typo3-announce/lists.netfielders.de
Subject: [TYPO3-announce] Security Bulletin TYPO3-20061010-1: fe_adminLib.inc

Dear users of TYPO3,

A Cross-Site-Scripting (XSS) problem has been discovered in fe_adminLib.inc

The "backURL" parameter is not escaped correctly. A prepared URL could potentially contain some unwanted JavaScript code.

A patched Version has been released under [1]

The upcoming release 4.0.3 of TYPO3 will contain this patch.

Please see [1] for instruction how to patch your installations.

Also the TYPO33 Security Cookbook has been released under [2] please have a look at this.

on behalf of the Security Team,
Michael Hirdes

[1] http://typo3.org/teams/security/secu...o3-20061010-1/
[2] http://typo3.org/teams/security/

--
TYPO3 Security Team
http://typo3.org/teams/security
_______________________________________________
TYPO3-announce mailing list
TYPO3-announce/lists.netfielders.de
http://lists.netfielders.de/cgi-bin/...typo3-announce

----- End forwarded message -----

--
---- WBR, Michael Shigorin <mike@altlinux.ru>
------ Linux.Kiev http://www.linux.kiev.ua/ _______________________________________________
TYPO3-russia mailing list
TYPO3-russia@lists.netfielders.de
http://lists.netfielders.de/cgi-bin/...o/typo3-russia
Дылгеров Ц.В. вне форума   Ответить с цитированием
Старый 25.10.2006, 13:18   #2
Дылгеров Ц.В.
Senior Member
 
Регистрация: 14.11.2005
Адрес: Улан-Удэ
Сообщений: 158
Отправить сообщение для Дылгеров Ц.В. с помощью ICQ
По умолчанию возможно ли?

http://www.altaforum.ru/showthread.php?t=268&page=2

Цитата:
Цитата:
2006-09-06 13:12:04. 50% сайтов с typo3 ломаются. cms то хорошая, но когда всякие школьники к ней модули пишут...

в ней пароль передается хешифрованным (шифруется на клиентской стороне), зная хэш пароля - ты админ.

я в свое вермя ломанул оф сайт typo3 и стащил оттуда пару модулей, там же и логи потер
интересно как он похищал чужие хеши?

Последний раз редактировалось Дылгеров Ц.В.; 25.10.2006 в 13:21
Дылгеров Ц.В. вне форума   Ответить с цитированием
Старый 26.10.2006, 01:16   #3
Valery Romanchev
Administrator
 
Аватар для Valery Romanchev
 
Регистрация: 23.08.2003
Адрес: Moscow, Russia
Сообщений: 1,926
Отправить сообщение для Valery Romanchev с помощью Skype™
По умолчанию

Цитата:
Сообщение от Дылгеров Ц.В.
http://www.altaforum.ru/showthread.php?t=268&page=2

Цитата:


интересно как он похищал чужие хеши?
Как я понимаю, все что идет по http можно похитить, если сидишь в той же локальной сети
Поэтому, если актуальна безопасность - надо юзать https

На эту тему в Install Tool есть:

Цитата:
[lockSSL]
Int. 0,1,2,3: If set (1+2+3), the backend can only be operated from an ssl-encrypted connection (https). Set to 2 you will be redirected to the https admin-url supposed to be the http-url, but with https scheme instead. If set to 3, only the login is forced to SSL, then the user switches back to non-SSL-mode

[loginSecurityLevel]
String. Keywords that determines the security level of login to the backend. "normal" means the password from the login form is sent in clear-text, "challenged" means the password is not sent but hashed with some other values, "superchallenged" (default) means the password is first hashed before being hashed with the challenge values again (means the password is stored as a hashed string in the database also). DO NOT CHANGE this value manually; without an alternative authentication service it will only prevent logins in TYPO3 since the "superchallenged" method is hardcoded in the default authentication system.
Ну а что касается этого кул хацкера... Кто его знает, человеку 20 лет, не 14 ;-) - может и действительно что-то сломал... но модули то ему зачем? Дефейснул бы - прославился :-) А модули скачивать и логи потом тереть - это как-то странно.
__________________
Веб-студия ТТЛАБ
www.ttlab.ru
Valery Romanchev вне форума   Ответить с цитированием
Ответ


Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB code is Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход


Часовой пояс GMT +4, время: 14:56.


Работает на vBulletin® версия 3.8.1.
Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
Перевод: zCarot

Хостинг и техническая поддержка: TYPO3 Лаборатория