S.G.D.S.N

Agence nationale
de la sécurité des
systèmes d'information

Paris, le 21 janvier 2009
N° CERTA-2009-AVI-024
Affaire suivie par: CERT-FR

Avis du CERT-FR

Objet: Multiples vulnérabilités dans TYPO3

Gestion du document

Référence CERTA-2009-AVI-024
Titre Multiples vulnérabilités dans TYPO3
Date de la première version21 janvier 2009
Date de la dernière version21 janvier 2009
Source(s) Bulletin de sécurité TYPO3-SA-2009-001

Une gestion de version détaillée se trouve à la fin de ce document.

Risques

  • Contournement de la politique de sécurité
  • Exécution de commandes arbitraires à distance
  • Injections de code indirectes

Systèmes affectés

  • TYPO3 versions 4.0.0 à 4.0.9 ;
  • TYPO3 versions 4.1.0 à 4.1.7 ;
  • TYPO3 versions 4.2.0 à 4.2.3.

Résumé

De multiples vulnérabilités dans TYPO3 permettent une exécution de commandes arbitraires à distance, diverses injections de code indirectes ou un contournement de la politique de sécurité.

Description

De multiples vulnérabilités ont été découvertes dans TYPO3 :

  • la clé de chiffrement utilisée par TYPO3 a une faible entropie ;
  • les jetons de session ne sont pas correctement invalidés et peuvent être rejoués ;
  • le moteur de recherche indexée ne filtre pas correctement les paramètres, ce qui permet une exécution de commandes arbitraires à distance. Par ailleurs, le nom et le contenu des fichiers à indexer ne sont pas non plus correctement filtrés, ce qui permet de réaliser des attaques de type cross-site scripting ;
  • des attaques de type cross-site scripting sont possibles via les composants ADOdb et Workspace.

Solution

Mettre à jour TYPO3 en version 4.0.10, 4.1.8 ou 4.2.4. L'application des mises à jour ne suffit pas à corriger toutes les vulnérabilités, il est également nécessaire de créer une nouvelle clé de chiffrement. Cette procédure est décrite dans le bulletin de sécurité de l'éditeur (voir section Documentation).

Documentation

Gestion détaillée du document

    le 21 janvier 2009
    version initiale.