S.G.D.S.N

Agence nationale
de la sécurité des
systèmes d'information

Paris, le 09 août 2011
N° CERTA-2011-AVI-432
Affaire suivie par: CERT-FR

Avis du CERT-FR

Objet: Multiples vulnérabilités dans TYPO3

Gestion du document

Référence CERTA-2011-AVI-432
Titre Multiples vulnérabilités dans TYPO3
Date de la première version09 août 2011
Date de la dernière version09 août 2011
Source(s) Bulletin de sécurité TYPO3 TYPO3-CORE-SA-2011-001 du 27 juillet 2011

Une gestion de version détaillée se trouve à la fin de ce document.

Risques

  • Atteinte à l'intégrité des données
  • Atteinte à la confidentialité des données
  • Contournement de la politique de sécurité
  • Injection de code indirecte à distance

Systèmes affectés

  • TYPO3 version 4.3.11 et antérieures ;
  • TYPO3 version 4.4.8 et antérieures ;
  • TYPO3 version 4.5.3 et antérieures.

Résumé

De multiples vulnérabilités dans TYPO3 permettent, entre autres, d'effectuer de l'injection de code indirecte à distance ou de porter atteinte à la confidentialité et à l'intégrité des données.

Description

De multiples vulnérabilités ont été découvertes dans TYPO3 :

  • plusieurs injections de code indirecte à distance sont possibles ;
  • un utilisateur s'authentifiant avec des identifiants erronés recevra des entêtes HTTP différents selon qu'il ait fourni un nom d'utilisateur correct ou non ;
  • un utilisateur peut contourner le délai d'attente imposé aprés avoir fourni des identifiants incorrects ;
  • la fonctionnalité getText peut être utilisée pour récupérer des données arbitraires depuis la base de données TYPO3 ;
  • une vulnérablité liée à l'utilisation de la fonction Unserialize() permet d'effacer arbitrairement les fichiers auxquels le serveur Web a accès.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Gestion détaillée du document

    le 09 août 2011
    version initiale.