Avis du CERT-FR

Objet: Vulnérabilité dans TYPO3

Gestion du document

Référence	CERTA-2010-AVI-019
Titre	Vulnérabilité dans TYPO3
Date de la première version	19 janvier 2010
Date de la dernière version	19 janvier 2010
Source(s)	Bulletin de sécurité TYPO3-SA-2010-001 du 14 janvier 2010

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

Contournement de la politique de sécurité

Systèmes affectés

TYPO3 version 4.3.0 avec l'extension openid activée.

Résumé

Une vulnérabilité dans TYPO3 permet de contourner un mécanisme d'authentification.

Description

Une vulnérabilité a été découverte dans la gestion des identités OpenID dans TYPO3. Sous de nombreuses conditions, un utilisateur d'un site Web peut se connecter à un compte utilisateur backend de TYPO3, via son identité OpenID.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Bulletin de sécurité TYPO3-SA-2010-001 du 14 janvier 2010

http://typo3.org/teams/security/security-bulletins/typo3-sa-2010-001/

Gestion détaillée du document

le 19 janvier 2010: version initiale.