ASA-2018-00084 – TYPO3: Negação de serviço no Online Media Asset Handling


For the English version of this alert, click here.

Allele Security Alert

ASA-2018-00084

Identificador(es)

ASA-2018-00084, TYPO3-CORE-SA-2018-011

Título

Negação de serviço no Online Media Asset Handling

Fabricante(s)

TYPO3 Association

Produto(s)

TYPO3

Versão(ões) afetada(s)

TYPO3 7.0.0-7.6.31, 8.0.0-8.7.20 e 9.0.0-9.5.1

Versão(ões) corrigida(s)

TYPO3 versões 7.6.32, 8.7.21 ou 9.5.2

Prova de conceito

Desconhecida

Descrição

Online Media Asset Handling (arquivos *.youtube e *.vimeo) no back-end do TYPO3 é vulnerável à negação de serviço. Colocar arquivos grandes com as extensões de arquivo correspondentes resulta em alto consumo de recursos do sistema. Isso pode levar a exceder os limites do processo atual do PHP, o que resulta em um componente back-end disfuncional. Uma conta de usuário de back-end ou acesso de escrita válido no sistema do servidor (por exemplo, SFTP) é necessária para explorar essa vulnerabilidade.

Detalhes técnicos

Desconhecido

Créditos

Michael Schams e Oliver Hader (TYPO3 core team)

Referência(s)

TYPO3 9.5.2, 8.7.21 and 7.6.32 security releases published
https://typo3.org/article/typo3-952-8721-and-7632-security-releases-published/

TYPO3-CORE-SA-2018-011: Denial of Service in Online Media Asset Handling
https://typo3.org/security/advisory/typo3-core-sa-2018-011/

[SECURITY] Avoid DoS in Online Media Helper
https://github.com/TYPO3/TYPO3.CMS/commit/16567366e2a25c0cbed7208c3be9eda962e28c9b

[TYPO3-announce] Announcing TYPO3 v9.5.2, v8.7.21 and v7.6.32 security releases
http://lists.typo3.org/pipermail/typo3-announce/2018/000435.html

Se encontrou algum erro neste alerta ou deseja uma análise compreensiva, entre em contato.

Última modificação: 1 fevereiro 2019

Não somos responsáveis por qualquer perda de dados, corrupção de dispositivos ou qualquer outro tipo de problema devido ao uso de qualquer informação mencionada em nossos alertas de segurança.