[TYPO3-UG Dutch] Aankondiging TYPO3 4.5.17, 4.6.10 en 4.7.2
Jigal van Hemert
jigal.van.hemert at typo3.org
Wed Jul 4 14:12:48 CEST 2012
Hoi,
On 4-7-2012 13:44, Rik Willems wrote:
> Wat betreft de security fix. Wat ik vaak mis is in de security updates
> is een duidelijke omschrijving van wanneer de gevonden 'gaten' echt
> gevaarlijk zijn. Is dat met opzet? In dit geval bijvoorbeeld, is dit
> alleen gevaarlijk bij een geldig BE login of is dit een 'open gat'.
In het security bulletin staat altijd de impact vermeld. Er wordt
meestal zo min mogelijk informatie vermeld om het zo lastig mogelijk te
maken voor kwaadwillenden om (nog) niet bijgewerkte sites te benadelen.
In dit geval is het duidelijk vermeld en is dit een open gat: het bestand
typo3/contrib/swfupload/swfupload.swf
bevat een cross site scripting (XSS) probleem, waardoor je met een link
naar dit bestand -- voorzien van speciaal ontworpen parameters --
Javascript bij de persoon die op de link klikt kan laten uitvoeren.
De oplossing is gelukkig simpel. In dit specifieke geval is het genoeg
om het bestand te vervangen door een nieuwe versie.
Hiermee kun je snel je sites beveiligen en later de hele update installeren.
--
Jigal van Hemert
TYPO3 Core Team member
TYPO3 .... inspiring people to share!
Get involved: typo3.org
More information about the TYPO3-UG-Dutch
mailing list