Forums de la communauté francophone du CMS TYPO3: Mise À Jour De Sécurité - Forums de la communauté francophone du CMS TYPO3

Aller au contenu

Page 1 sur 1
  • Vous ne pouvez pas commencer un sujet
  • Vous ne pouvez pas répondre à ce sujet

Mise À Jour De Sécurité A vos diff..pret... patchez

#1 L'utilisateur est hors-ligne   OlivierSC 

  • Pilier du forum
  • PipPipPipPipPipPipPip
  • Groupe : Administrateur
  • Messages : 1 689
  • Inscrit(e) : 26-juin 09

Posté 20 mai 2016 à 17:06

Bonjour à tous,

Pour information, il a été annoncé qu'une faille de sécurité critique va être dévoilée mardi prochain (le 24 mai, à 8h GMT).

Elle concerne TOUTES les versions de TYPO3, c'est à dire des 4.x jusqu'à la dernière 8.1.

Il n'a pas été précisé le type de problématique associée à cette faille.

Plus d'information sur la "pré annonce" :
https://typo3.org/te...3-psa-2016-002/

Des patchs devraient être fournis pour les versions anciennes de TYPO3, ou des mises à jours pour les versions encore maintenues (6.2.x, 7.6.x, 8.x).

OlivierSC
0

#2 L'utilisateur est hors-ligne   OlivierSC 

  • Pilier du forum
  • PipPipPipPipPipPipPip
  • Groupe : Administrateur
  • Messages : 1 689
  • Inscrit(e) : 26-juin 09

Posté 24 mai 2016 à 10:17

Bonjour,

Le bulletin de sécurité a été publié ce matin :
Missing Access Check in TYPO3 CMS

Ainsi qu'une mise à jour de l'ensemble des versions supportées (6.2, 7.6, 8.1) que l'on peut retrouver sur la page de téléchargement.

Pour les autres versions, on peut trouver un lien dans le bulletin de sécurité proposant le patch correctif pour chaque version de TYPO3.

Il est annoncé qu'il ne devrait pas y avoir d'impact sur les développements sauf cas "borderline" (utilisation déconseillée de l'api) pour lesquels il est simplement attendu qu'il soit impossible de valider un formulaire.

N'hésitez pas à faire des retours ici si vous avez des problèmes avec cette mise à jour.

OlivierSC
0

#3 L'utilisateur est hors-ligne   Lustmord 

  • Nouveau
  • Pip
  • Groupe : Membres
  • Messages : 20
  • Inscrit(e) : 26-mars 09

Posté 26 mai 2016 à 13:39

Bonjour à vous,

Je viens de tenter d'appliquer le patch sur une version 4.5.40, et étrangement, l'un des fichiers modifiés par le patch n'existe pas (ni sur aucune de mes 3 autres instances de typo3 4.5.40 d'ailleurs). Ce qui entraîne l'échec de l'application du patch sur les autres fichiers, qui eux sont bien présents.

Il s'agit en l'occurrence du fichier :
  • typo3/sysext/extbase/Classes/Security/Exception/InvalidHash.php


À la place, je ne dispose que des fichiers :
  • InvalidArgumentForHashGeneration.php
  • InvalidArgumentForRequestHashGeneration.php
  • SyntacticallyWrongRequestHash.php


Si quelqu'un a une petite idée (ou même une grande), je suis preneur :)

Ah, et j'oubliais de préciser qu'il m'est impossible de passer à une version supérieure de Typo3 dans l'immédiat pour des questions de temps (les différentes instances comptant une soixantaine de sites chacune, une mise à jour est très compliquée et très chronophage...)

Merci d'avance pour votre aide en tout cas !!

Bye

Ce message a été modifié par Lustmord - 26 mai 2016 à 13:59.

0

#4 L'utilisateur est hors-ligne   OlivierSC 

  • Pilier du forum
  • PipPipPipPipPipPipPip
  • Groupe : Administrateur
  • Messages : 1 689
  • Inscrit(e) : 26-juin 09

Posté 26 mai 2016 à 15:28

Bonjour,

Voir le messageLustmord, le 26 mai 2016 à 13:39, dit :

Je viens de tenter d'appliquer le patch sur une version 4.5.40

Il s'agit de la derniere version de la vranche 4.5.40, donc c'est déjà une bonne base :)

Voir le messageLustmord, le 26 mai 2016 à 13:39, dit :

l'un des fichiers modifiés par le patch n'existe pas [...] /typo3/sysext/extbase/Classes/Security/Exception/InvalidHash.php

Ce fichier n'existe pas dans la version 4.5.x (j'ai vérifié en re-téléchargeant le code source de la version 4.5.40).
Le détail du patch signale que le fichier est justement créé par ce pach.
diff --git a/typo3/sysext/extbase/Classes/Security/Exception/InvalidHash.php b/typo3/sysext/extbase/Classes/Security/Exception/InvalidHash.php
new file mode 100644
index 0000000..6ea40ca
--- /dev/null
+++ b/typo3/sysext/extbase/Classes/Security/Exception/InvalidHash.php
@@ -0,0 +1,34 @@
+<?php
+/***************************************************************
+*  Copyright notice
+*


Du fait qu'il s'agit d'une création (et non d'une modification d'un fichier existant) il y a peut etre un problème de droit d'écriture sur le dossier au dessus ( /typo3/sysext/extbase/Classes/Security/Exception/ ) qui empêche le patch d'ajouter ce fichier.

Est ce que tu as vérifié les droits d'écriture sur le dossier au dessus?

OlivierSC
0

#5 L'utilisateur est hors-ligne   Lustmord 

  • Nouveau
  • Pip
  • Groupe : Membres
  • Messages : 20
  • Inscrit(e) : 26-mars 09

Posté 26 mai 2016 à 17:22

Mais bien sûr, j'ai pas assez fouillé... Je vais voir cela avec mon admin serveur et je vous tiens au courant.
Merci en tout cas, j'y avais pas pensé :D
0

#6 L'utilisateur est hors-ligne   Lustmord 

  • Nouveau
  • Pip
  • Groupe : Membres
  • Messages : 20
  • Inscrit(e) : 26-mars 09

Posté 31 mai 2016 à 09:20

Bonjour,

Nous avons finalement trouvé l'erreur, il ne s'agissait pas de droits d'écriture mais de syntaxe...

Dans la doc de Typo3, il est indiqué d'appliquer un patch de cette façon :
patch -p0 -i path/to/patch/file.diff


Dans mon cas il s'agissait plutôt de :
patch -p1 -i path/to/patch/file.diff


Une histoire de profondeur j'imagine :)
Quoiqu'il en soit l'opération s'est parfaitement déroulée !

Merci en tout cas pour l'aide !!

À bientôt et bonne journée :)

Ce message a été modifié par Lustmord - 31 mai 2016 à 09:21.

0

Partager ce sujet :


Page 1 sur 1
  • Vous ne pouvez pas commencer un sujet
  • Vous ne pouvez pas répondre à ce sujet

1 utilisateur(s) en train de lire ce sujet
0 membre(s), 1 invité(s), 0 utilisateur(s) anonyme(s)