インストールツールのセキュリティ・ホール: 2009/12/19
TYPOlightのすべてのバージョンが対象となる、セキュリティ・ホールがインストールツールに見つかりました。
以下は、Major security hole in the TYPOlight install toolの翻訳となります。
TYPOlightインストールツールに深刻なセキュリティホール
TYPOlightのインストールツールに深刻なセキュリティホールが見つかりました。この問題により、任意のユーザにインストールツールのパスワード認証をすり抜けてデータベースの認証情報を取得したり、Safe Mode Hackを使用している場合はFTPの認証情報を取得することを可能としてしまいます。問題を修正するには、最新のバージョン(2.7.6)に更新するか、以下のパッチを適用してください!
影響のあるバージョン
残念ながら、この問題はすべてのバージョンのTYPOlightに影響があります。.htaccess(訳注: またはhttpd.conf)で認証するといった、TYPOlightのバックエンドを保護するために追加の処置をしていた場合だけ、安全と言えます。
脆弱性の修正方法
ライブアップデート・サービスを使用している場合は、最新のバージョン(2.7.6)に更新してください。そうでない場合は、以下のパッチをダウンロードして、typolight/install.phpとtypolight/ftp.php(TYPOlight バージョン2.6以降に存在)を置き換えてください。
サイトをさらに堅牢にしたい場合や、何らかの理由ですぐにアップデートできない場合は、バックエンド(typolightディレクトリ)を.htaccessで保護してください。インストールツールだけ保護するにはFilesMatchを使用します:
<FilesMatch "(ftp|install)\.php$">
AuthName "TYPOlight back end"
AuthType Basic
AuthUserFile .htpasswd
require valid-user
</FilesMatch>ログイン情報を変更して下さい!
今日以前に.htaccessによる保護をしていなかった場合は、データベースのパスワードを変更して下さい。そして、Safe Mode Hackを使用している場合は、FTPのパスワードも変更して下さい。
バックエンドのアカウントの確認
今回の脆弱姓は管理者アカウントの作成も可能なため、知らない新しいアカウントが作成されていないかバックエンドユーザの一覧を確認して下さい。
疑問がある場合は、遠慮なくフォーラムに問い合わせてください。今回のセキュリティ問題については、たいへん申し訳なく思います。