De multiples failles de sécurité ont été trouvées avec l'extension "mysqldumper"

Versions affectées :

  • Extension TYPO3 mysqldumper 0.0.5 et versions précédentes
  • Version standalone MySQLDumper : toutes les versions actuellement disponibles (1.23_pre_release_REV227, 1.22, 1.21b)
Que vous utilisiez l'extension TYPO3 mysqldumper ou la version standalone de MySQLDumper, les fonctionnalités de l'application pourrait facilement être exploitées par un hacker qui pourrait lire, écrire ou même exporter votre base de données. La création de mot de passe sur les serveurs Apache n'offre pas de protection suffisante en raison d'une faiblesse dans le code.
Pour l'extension TYPO3 mysqldumper 0.0.5 (et versions précédentes), le contrôle sur l'identification incorporé dans l'extension contient lui-même une faille de sécurité rendant celui-ci incertain.

Solutions pouvant être apportées :
  • supprimer la version mysqldumper que vous utilisez
  • si vous avez les connaissances requises en matière de création de mot de passe, vous pouvez appliquez vous même une solution manuelle pour protéger votre système (en supprimant au préalable les fichiers .htaccess et .htpasswd générés par MySQLDumper).
Pour les utilisateurs de l'extension TYPO3 mysqldumper :
  • utiliser le module "Extension Manager" pour désactiver l'extension et supprimer le code source de votre serveur
Que ce soit pour l'extension TYPO3 mysqldumper ou la version standalone de MySQLDumper, aucune mise à jour n'est actuellement disponible.

Lire l'article