Sécurité informatique

securite informatique
     SECURINFOS
     in English
     Bulletins sécurité
     Docs sécurité
     Logiciels sécurité
     Vieux Logiciels
     Forum sécurité
     Services
     Définitions
     Astuces Windows
     MetaSploit
     M$ OPcodes
     Passwords
     Dictionnaires
     Contact
     Liens

SECURINFOS.INFO - Bulletins de sécurité informatique, Alertes et Protection

Diverses Extensions TYPO3 : Vulnérabilités Diverses


01/07/2008 12H41
Référence Secunia : SA30885 
Date de publication : 2008-07-01

Risque : Moyennement Critique. Niveau 3 sur 5.
Impact : Contournement de la Sécurité, Manipulation de données, DoS
Lieu : A distance


Solutions :
Correctif de l'éditeur


Produit :
Branchenbuch (Yellow Pages) (mh_branchenbuch) Extension pour TYPO3 0.x
KB Unpack (kb_unpack) Extension pour TYPO3 0.x
News Calendar (newscalendar) Extension pour TYPO3 1.x
Packman (kb_packman) Extension pour TYPO3 0.x
SQL Frontend (mh_omsqlio) Extension pour TYPO3 1.x


Description :
Plusieurs vulnérabilités ont été identifiées dans diverses extensions TYPO3, qui pourrait être exploitée par des utilisateurs malicieux ou des personnes pour passer outre certaines restrictions de sécurité, conduire des attaques par injection SQL ou causer un Déni de Service (DoS).

1) Une erreur non spécifiée dans le SQL Frontend (mh_omsqlio) extension pourrait être exploitée pour causer un DoS.

2) Une certaine entrée non spécifiée passée à the Branchenbuch (Yellow Pages) (mh_branchenbuch), SQL Frontend (mh_omsqlio), et News Calendar (newscalendar) extensions n'est pas correctement filtrée avant d'être utilisée dans une requête SQL. Cela pourrait être exploité pour manipuler les interrogations SQL en injectant du code SQL arbitraire.

3) Le Packman (kb_packman) et KB Unpack (kb_unpack) extensions ont des listes noires incomplètes.

NOTE : Les vulnérabilités ont également été rapportés dans diverses versions d'extensions non-supportées, alpha et beta. L'éditeur recommande de désinstaller et deleting certaines extensions. Veuillez voir le bulletin de l'éditeur pour des détails.


Solutions :
Mettre à jour pour une version corrigée. Voir le bulletin de l'éditeur pour des détails.


Vulnérabilité découverte par :

L'éditeur crédite Maximilian Gaukler, Frederic Gaus, Marcus Krause, et Georg Ringer.

Référence :
http://typo3.org/teams/security/security-bulletins/typo3-20080701-1/




Veuillez noter : L'information sur laquelle ce bulletin Secunia est basé provient d'un tiers sans mention du contraire. Secunia collecte, valide, et vérifie tout les rapports de vulnérabilité issus de la recherche en sécurité de groupes, distributeurs ou autres.

Les noms, marques et enseignes cités sur ce site sont la propriété de leurs déposants respectifs.

Derniers bulletins de sécurité informatique

Bulletins de sécurité informatiques relatifs

20081110 TYPO3 phpMyAdmin Extension db Vulnérabilité Cross Site Scripting 2
20081021 TYPO3 simplesurvey Extension Vulnérabilité d'Injection SQL 3
20081021 TYPO3 dmmjobcontrol Extension Vulnérabilité d'Injection SQL 3
20080924 TYPO3 sr freecap Extension Vulnérabilité Cross Site Scripting 2
20080924 TYPO3 phpMyAdmin Extension Vulnérabilité Cross Site Scripting 2
20080919 TYPO3 kw secdir Extension Vulnérabilité d'Exécution de Code 3
20080918 TYPO3 phpMyAdmin Extension Vulnérabilité d'Exécution de Code PHP 3
20080701 TYPO3 phpMyAdmin Extension Cross Site Scripting
20080701 TYPO3 WEC Discussion Forum Vulnérabilités Diverses
20080701 TYPO3 Send A Card Extension Vulnérabilités Cross Site Scripting
20080701 Diverses Extensions TYPO3 Vulnérabilités Diverses
20080619 TYPO3 DCD GoogleMap Extension Vulnérabilité Cross Site Scripting
20080611 TYPO3 Upload de Fichier et Vulnérabilités Cross Site Scripting
20080527 TYPO3 sg zfelib Extension Vulnérabilités d'Injection SQL
20080527 TYPO3 kj imagelightbox2 Extension Cross Site Scripting
20080515 TYPO3 sr feuser register Extension Vulnérabilités Diverses
20080513 TYPO3 wt gallery Extension Vulnérabilités Diverses
20080513 TYPO3 rlmp eventdb Extension Vulnérabilité Cross Site Scripting
20070223 TYPO3 Mail Header Injection Vulnérabilité
20061221 TYPO3 userUid Command Exécution Vulnérabilité
20061221 TYPO3 rtehtmlarea Extension userUid Command Exécution
20060120 TYPO3 thumbs php Full Path Disclosure
20050304 TYPO3 CMW Linklist Extension category uid Injection SQL
20030303 TYPO3 Vulnérabilités Diverses
20021003 Divers Produits Traitement archive ZIP Buffer Overflow
 
Securite informatique

JA-PSI - Sécurité informatique - Tous droits réservés
formation sécurité informatiqe