Карта сайта        
Русский   
 
Українська   

TYPO3: система управления контентом, Киев
Logo inVision
Приведем за руку новых клиентов.
ГЛАВНАЯУСЛУГИПОРТФОЛИОCMS TYPO3ИНФОЦЕНТРКОНТАКТЫ
Почему TYPO3
Обзоры и рейтинги CMS
Демо-сайты TYPO3
Скриншоты интерфейса
Модули TYPO3
Системные требования
Новости TYPO3
Документация по TYPO3
История TYPO3

Новости TYPO3
Уязвимости в дополнительных модулях
17.07.2007    Категория: Новости TYPO3

Недавно мы сообщали о повышенной активности атак на системы управления контентом, в том числе и TYPO3. Команда разработчиков по безопасности системы не нашла никакой уязвимости непосредственно в ядре TYPO3, но у них есть информация о проблемах с дополнительно устанавливаемыми модулями.

На сайте одного из разработчиков появились некоторые соображения на этот счет:

Для меня вопрос сколько еще «бомб» спрятаны внутри репозитория (сборника всех доступных модулей). Я думаю, много.

Сообщество TYPO3 очень велико и доступно множество модулей. Каждый день новые версии старых расширений или совершенно новые загружаются в репозиторий. Команда по безопасности просто не в состоянии проверить все из них. В любом случае, я думаю, только малую их часть можно и следует использовать.

Как же можно разделить важные модули от незначительных. Расширения, которые действительно используются и те, которые нет. Один из возможных методов – счетчик загрузок. Я верю, что наиболее популярные модули уже проверены на безопасность.
Другим подходом может быть общая проверка. Большим шагом вперед в плане наличия информации о модулях системы было начало работы команды по сравнению расширений. Они проверяют группы модулей каждый 3 месяца и публикуют результаты в журнале T3N Magazin. Они не проверяют безопасность модуля, лишь его юзабилити (простоту, удобство использования). Но это может быть использовано в качестве основной информации для уменьшения количество потенциальных модулей, которые должны быть рассмотрены командой по безопасности. Или, возможно, руководители групп должны подумать о сотрудничестве. Каждый раз, когда команда сравнения проверяет группу расширений, он также могут быть проверены командой по безопасности на наличие соответствующих угроз.

Кроме того, в последнее время на официальном сайте публикуется список расширений, в которых найдены те или иные уязвимости, вместе с обновленными версиями, позволяющими исключить возможность атаки. Там же рекомендуется подписаться на рассылку анонсов (TYPO3 Announce List), которая не требует много трафика и содержит только важные анонсы - например, предупреждения об уязвимости модулей.

Вернуться к списку новостей
 
наверх
Веб-студия inVision™: создание сайтов тел.: 592-70-00, 286-42-12
© 2006-2008 Веб-студия "inVision™".
Все права защищены.
Яндекс цитирования