ASA-2018-00084 – TYPO3: Negação de serviço no Online Media Asset Handling


For the English version of this alert, click here.

Allele Security Alert

ASA-2018-00084

Identificador(es)

ASA-2018-00084, TYPO3-CORE-SA-2018-011

Título

Negação de serviço no Online Media Asset Handling

Fabricante(s)

TYPO3 Association

Produto(s)

TYPO3

Versão(ões) afetada(s)

TYPO3 7.0.0-7.6.31, 8.0.0-8.7.20 e 9.0.0-9.5.1

Versão(ões) corrigida(s)

TYPO3 versões 7.6.32, 8.7.21 ou 9.5.2

Prova de conceito

Desconhecida

Descrição

Online Media Asset Handling (arquivos *.youtube e *.vimeo) no back-end do TYPO3 é vulnerável à negação de serviço. Colocar arquivos grandes com as extensões de arquivo correspondentes resulta em alto consumo de recursos do sistema. Isso pode levar a exceder os limites do processo atual do PHP, o que resulta em um componente back-end disfuncional. Uma conta de usuário de back-end ou acesso de escrita válido no sistema do servidor (por exemplo, SFTP) é necessária para explorar essa vulnerabilidade.

Detalhes técnicos

Desconhecido

Créditos

Michael Schams e Oliver Hader (TYPO3 core team)

Referência(s)

TYPO3 9.5.2, 8.7.21 and 7.6.32 security releases published
https://typo3.org/article/typo3-952-8721-and-7632-security-releases-published/

TYPO3-CORE-SA-2018-011: Denial of Service in Online Media Asset Handling
https://typo3.org/security/advisory/typo3-core-sa-2018-011/

[SECURITY] Avoid DoS in Online Media Helper
https://github.com/TYPO3/TYPO3.CMS/commit/16567366e2a25c0cbed7208c3be9eda962e28c9b

[TYPO3-announce] Announcing TYPO3 v9.5.2, v8.7.21 and v7.6.32 security releases
http://lists.typo3.org/pipermail/typo3-announce/2018/000435.html

Se encontrou algum erro neste alerta ou deseja uma análise compreensiva, entre em contato.

Última modificação: 1 fevereiro 2019