Pengembang TYPO3 Memperingatkan Adanya Lubang Keamanan Kritis

Tim pengembang TYPO3 mengumumkan bahwa ada bug kritikal di content management system TYPO3 yang memungkinkan penyerang untuk masuk ke server. Kurangnya pengecekan pada parameter BACK_PATH pada file AbstractController.php memungkinkan penyerang untuk mengunggah dan mengeksekusi skrip PHP semaunya (Remote File Inclusion). Pengembang juga menginformasikan bahwa penyerang sudah menncoba melakukan intrusi ke server-server dalam skala besar.

TYPO3 versi 4.5.0 dan 4.5.8 dan juga 4.6.0 dan 4.6.1 rentan terhadap serangan ini tetapi hanya jika variabel PHP register_globals, allow_url_include dan allow_url_fopen diset. Hanya variable terakhir dari variabel-variable ini dinyalakan secara default. Tim Pengembang terlah merilis patch dan versi koreksi 4.5.9 dan 4.6.2. Alternatif lainnya, pengguna dapat mengimplementasikan mod_security rule seperti yang dijelaskan dalam saran pengembang.

Via :

Leave a Comment

This site uses Akismet to reduce spam. Learn how your comment data is processed.