Krytyczna luka Remote Code Execution w TYPO3 Opcje

[blooregard]

W popularnym systemie CMS TYPO3 odryta została luka umożliwiająca dołączenie i wykonanie zdalnego kodu na serwerze (błąd znany jako Remote Code Execution). Do wykorzystania luki konieczna jest odpowiednia konfiguracja interpretera PHP (dyrektywy register_globals, allow_url_include, oraz allow_url_fopen ustawione na 'on').

Luka została określona jako 'wysoce krytyczna' i są na nią podatne wersje TYPO3 do 4.3.2 włącznie. Zalecana jest jak najszybsza aktualizacja do wersji 4.3.3.

Opracowano na podstawie informacji zamieszczonej w serwisie secunia.com.

Dodatkowe nformacje:
http://secunia.com/advisories/39287/
http://typo3.org/teams/security/security-b...o3-sa-2010-008/

[marcio]

No to nie wykazali sie RCE to w sumie blad powazny jak RFI jak nie bardziej.

Do wykorzystania luki konieczna jest odpowiednia konfiguracja interpretera PHP (dyrektywy register_globals, allow_url_include, oraz allow_url_fopen ustawione na 'on')

No tak tylko jaki server teraz ma wlaczone register_globals?
Ogolnie zadko mozna spotkac hostingi ktore maja te dyrektywy na on mowa o darmowych a na dedyku to chyba wiadomo.