[TYPO3-UG Italy] Utente abilitato come admin

Mauro Lorenzutti mauro.lorenzutti at webformat.com
Wed Jan 18 09:02:34 CET 2012


Ciao Marco,

Il 18/01/2012 08:54, Marco Antonioli ha scritto:
> ciao
> se come dicevi è una 4.5.2, io mi concentrerei molto sulle estensioni
> installate più che sul core.
> Es se hai tipo la phpmyadmin anche dimenticata e non usata ma installata è
> meglio controllare...


aggiungo a quanto da te correttamente suggerito: è sufficiente che 
l'estensione sia stata scaricata, non è necessario che risulti 
installata. Se infatti è stata scaricata significa che i file sono 
presenti in typo3conf/ext/phpmyadmin e quindi una potenziale 
vulnerabilità potrebbe essere usata per fare danni, anche se 
l'estensione non risulta "installata" in TYPO3.

Quindi bisogna proprio rimuovere dal server tutte le estensioni non 
usate o insicure, non basta disinstallarle.

P.S. sulla versione 4.5.2 di TYPO3 sono presenti delle vulnerabilità 
note, quindi non escluderei a priori che il problema possa essere 
proprio il core. Consiglierei quindi un upgrade all'ultima versione 
della 4.5

P.P.S. X Cesare: se dovessi trovare che il tuo sito è stato 
effettivamente bucato e magari trovi anche la causa, non postarlo in 
lista, altrimenti rischieresti di mettere a repentaglio tutti i siti che 
hanno lo stesso problema. Invia una mail a security at typo3.org con tutti 
i dettagli.

Ciao,
-- 
  Mauro Lorenzutti

e-mail:  mauro.lorenzutti at webformat.com
---------------------------------------------------------
WEBFORMAT srl | Corte Europa, 12 | I-33097 SPILIMBERGO PN
      Tel +39-0427-926.389  --  Fax +39-0427-927.653
        info at webformat.com  --  http://www.webformat.com
---------------------------------------------------------


More information about the TYPO3-UG-Italy mailing list