Debian-Sicherheitsankündigung

DSA-1596-1 typo3 -- Mehrere Verwundbarkeiten

Datum des Berichts:
12. Jun 2008
Betroffene Pakete:
typo3
Verwundbar:
Ja
Sicherheitsdatenbanken-Referenzen:
In der Debian-Fehlerdatenbank: Fehler 485814.
In Mitres CVE-Verzeichnis: CVE-2008-2717, CVE-2008-2718.
Weitere Informationen:

Mehrere entfernt ausnutzbare Verwundbarkeiten wurden im TYPO3-Content-Management-Framework entdeckt.

Wegen eines nicht ausreichend sicheren Standardwertes der Konfigurationsvariablen fileDenyPattern in TYPO3, konnten authentifizierte Backend-Benutzer Dateien hochladen, was die Ausführung beliebigen Codes unter dem Webserver-Benutzer ermöglicht.

Durch fe_adminlib.inc verarbeitete Benutzereingaben werden nicht korrekt gefiltert, um Site-übergreifende Skripting-Angriffe zu vermeiden. Dies tritt auf, wenn spezielle Plugins verwendet werden.

Für die Stable-Distribution (Etch) wurden diese Probleme in Version 4.0.2+debian-5 behoben.

Für die Unstable-Distribution (Sid) wurden diese Probleme in Version 4.1.7-1 behoben.

Wir empfehlen Ihnen, Ihr typo3-Paket zu aktualisieren.

Behoben in:

Debian GNU/Linux 4.0 (etch)

Quellcode:
http://security.debian.org/pool/updates/main/t/typo3-src/typo3-src_4.0.2+debian-5.dsc
http://security.debian.org/pool/updates/main/t/typo3-src/typo3-src_4.0.2+debian.orig.tar.gz
http://security.debian.org/pool/updates/main/t/typo3-src/typo3-src_4.0.2+debian-5.diff.gz
Architektur-unabhängige Dateien:
http://security.debian.org/pool/updates/main/t/typo3-src/typo3_4.0.2+debian-5_all.deb
http://security.debian.org/pool/updates/main/t/typo3-src/typo3-src-4.0_4.0.2+debian-5_all.deb

MD5-Prüfsummen der aufgeführten Dateien stehen in der ursprünglichen Sicherheitsankündigung zur Verfügung.