bencede
New member
Typo3 içerik yönetim sisteminde yüksek riskli olarak sınıflandırılan bir güvenlik açığı bulunmaktadır. Saldırganlar, kötü amaçlı HTML kodunu enjekte etmek için siteler arası komut dosyası çalıştırmayı kullanabilir. Yöneticilerin mevcut güncellemeleri uygulamaları gerekir.
Typo3’ün geliştiricileri, bir güvenlik bildiriminde sorunu – bir hedef gruptan çok geliştiricilere – şu şekilde açıklıyor: “TYPO3’ün ana bileşeni GeneralUtility::getIndpEnv() filtrelenmemiş sunucu ortamı değişkenini kullan PATH_INFO, saldırganların kötü amaçlı içerik eklemesine izin verir. TypoScript ayarıyla birlikte config.absRefPrefix=auto Saldırganlar, henüz görüntülenmemiş ve önbelleğe alınmamış sayfalara kötü amaçlı HTML ekleyebilir. Sonuç olarak girilen değerler önbelleğe alınır ve diğer web sitesi ziyaretçilerine iade edilir” (CVE-2023-24814, CVSS) 8.8risk”yüksek“).
Typo3 güvenlik açığı: daha fazla ayrıntı
Geliştiriciler, bir saldırının nasıl görüneceğini tam olarak açıklamıyor. Ancak sunucu ortamı değişkenini kullanmanız gerekir. PATH_INFO işleme rutinlerinden GeneralUtility::getIndpEnv() kamu malının yanı sıra kaldırıldı TypoScriptFrontendController::$absRefPrefix URI parçası olarak ve bir HTML bağlamında önek olarak kullanılmak üzere kodlanmıştır. Bu, siteler arası komut dosyası çalıştırma güvenlik açığını azaltır.
Yöneticilerin kısa sürede yükseltemedikleri Typo3 örnekleri için, en azından TypoScript ayarını değiştirmeleri gerekir. config.absRefPrefix bunun yerine statik bir rotaya ayarla auto kullanmak – yaklaşık config.absRefPrefix=/, Typo3 geliştiricileri geçici bir önlem olarak önermektedir. Ancak bu, güvenlik açığının tüm yönlerini düzeltmez ve yalnızca geçici bir düzeltme olabilir.
Hata, Typo3 sürüm 8.7.0-8.7.50, 9.0.0-9.5.39, 10.0.0-10.4.34, 11.0.0-11.5.22 ve 12.0.0-12.1.3’ü etkiler. Proje yakın zamanda güncellenmiş sürümleri sunmaya başladı 12.2.0, 11.5.23 birlikte 4/10/36 indirmek için Typo3 web sitesinde. Güvenlik açığının ciddiyeti nedeniyle yöneticilerin bunları hızlı bir şekilde indirmesi ve uygulaması gerekir.
Son zamanlarda, Typo3 kullanıcıları geçen yıl Aralık ayı ortasında sistemi yükseltmek zorunda kaldılar. Orada da yüksek riskli güvenlik boşluklarının doldurulması gerekiyordu.
(dmk)
Haberin Sonu
Typo3’ün geliştiricileri, bir güvenlik bildiriminde sorunu – bir hedef gruptan çok geliştiricilere – şu şekilde açıklıyor: “TYPO3’ün ana bileşeni GeneralUtility::getIndpEnv() filtrelenmemiş sunucu ortamı değişkenini kullan PATH_INFO, saldırganların kötü amaçlı içerik eklemesine izin verir. TypoScript ayarıyla birlikte config.absRefPrefix=auto Saldırganlar, henüz görüntülenmemiş ve önbelleğe alınmamış sayfalara kötü amaçlı HTML ekleyebilir. Sonuç olarak girilen değerler önbelleğe alınır ve diğer web sitesi ziyaretçilerine iade edilir” (CVE-2023-24814, CVSS) 8.8risk”yüksek“).
Typo3 güvenlik açığı: daha fazla ayrıntı
Geliştiriciler, bir saldırının nasıl görüneceğini tam olarak açıklamıyor. Ancak sunucu ortamı değişkenini kullanmanız gerekir. PATH_INFO işleme rutinlerinden GeneralUtility::getIndpEnv() kamu malının yanı sıra kaldırıldı TypoScriptFrontendController::$absRefPrefix URI parçası olarak ve bir HTML bağlamında önek olarak kullanılmak üzere kodlanmıştır. Bu, siteler arası komut dosyası çalıştırma güvenlik açığını azaltır.
Yöneticilerin kısa sürede yükseltemedikleri Typo3 örnekleri için, en azından TypoScript ayarını değiştirmeleri gerekir. config.absRefPrefix bunun yerine statik bir rotaya ayarla auto kullanmak – yaklaşık config.absRefPrefix=/, Typo3 geliştiricileri geçici bir önlem olarak önermektedir. Ancak bu, güvenlik açığının tüm yönlerini düzeltmez ve yalnızca geçici bir düzeltme olabilir.
Hata, Typo3 sürüm 8.7.0-8.7.50, 9.0.0-9.5.39, 10.0.0-10.4.34, 11.0.0-11.5.22 ve 12.0.0-12.1.3’ü etkiler. Proje yakın zamanda güncellenmiş sürümleri sunmaya başladı 12.2.0, 11.5.23 birlikte 4/10/36 indirmek için Typo3 web sitesinde. Güvenlik açığının ciddiyeti nedeniyle yöneticilerin bunları hızlı bir şekilde indirmesi ve uygulaması gerekir.
Son zamanlarda, Typo3 kullanıcıları geçen yıl Aralık ayı ortasında sistemi yükseltmek zorunda kaldılar. Orada da yüksek riskli güvenlik boşluklarının doldurulması gerekiyordu.
(dmk)
Haberin Sonu