TYPO3 : faille de sécurité sur toutes les versions

10 février 2009

Très bien cette équipe de sécurité TYPO3, elle bosse bien, elle trouve des bugs, des failles, des fissures et parfois des trous béants.

Cette fois-ci, notre équipe favorite remonte une faille critique sur toutes les versions existantes de TYPO3. Cette faiblesse du système permettrait d'accéder à n'importe quel fichier situé sur le serveur d'hébergement ; même le fichier contenant les identifiants et mots de passe de l'interface d'installation (typo3conf/localconf.php).

Ça fout les chocottes. Pour pas se retrouver au fond de son lit à se morfondre en se considérant comme le plus mauvais des mauvais, pour ne pas mettre en péril l'activité d'une agence de plusieurs dizaines de personnes, pour ne pas voir la réputation de TYPO3 se ternir en constatant que les sites tombent les uns après les autres ; il faut mettre à jour sa version de TYPO3.

Le plus simple, pour ceux qui tiennent leur CMS à jour est de télécharger les dernières versions disponible: 4.0.12, 4.1.10 or 4.2.6.

Sinon, le bulletin de sécurité, TYPO3 Security Bulletin TYPO3-SA-2009-002: Information Disclosure & XSS in TYPO3 Core, propose d'autres solutions :

  1. Utiliser un shell script
  2. Appliquer un patch
  3. Effectuer les modifications à la main

Cette faille touche toutes les versions de TYPO3 : 3.3.x, 3.5.x, 3.6.x, 3.7.x, 3.8.x, 4.0 to 4.0.11, 4.1.0 to 4.1.9, 4.2.0 to 4.2.5, 4.3alpha1. Les développeurs de TYPO3 ont constaté que les failles étaient déjà exploitées sur plusieurs sites.