Bulletin d'alerte Debian

DSA-1596-1 typo3 -- Plusieurs vulnérabilités

Date du rapport :
12 juin 2008
Paquets concernés :
typo3
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 485814.
Dans le dictionnaire CVE du Mitre : CVE-2008-2717, CVE-2008-2718.
Plus de précisions :

Plusieurs vulnérabilités distantes ont été découvertes dans l'environnement de gestion de contenu TYPO3.

À cause de la valeur par défaut insuffisamment sûre de la variable de configuration de TYPO3 fileDenyPattern, un utilisateur authentifié du dorsal peut télécharger des fichiers permettant l'exécution de code arbitraire avec l'identité de l'utilisateur du serveur.

Les entrées de l'utilisateur traitées par fe_adminlib.inc ne sont pas correctement filtrées pour empêcher une attaque par script intersite ce qui est possible lorsque des modules spécifiques sont utilisés.

Pour la distribution stable (Etch), ces problèmes ont été corrigés dans la version 4.0.2+debian-5.

Pour la distribution instable (Sid), ces problèmes ont été corrigés dans la version 4.1.7-1.

Nous vous recommandons de mettre à jour votre paquet typo3.

Corrigé dans :

Debian GNU/Linux 4.0 (etch)

Source :
http://security.debian.org/pool/updates/main/t/typo3-src/typo3-src_4.0.2+debian-5.dsc
http://security.debian.org/pool/updates/main/t/typo3-src/typo3-src_4.0.2+debian.orig.tar.gz
http://security.debian.org/pool/updates/main/t/typo3-src/typo3-src_4.0.2+debian-5.diff.gz
Composant indépendant de l'architecture :
http://security.debian.org/pool/updates/main/t/typo3-src/typo3_4.0.2+debian-5_all.deb
http://security.debian.org/pool/updates/main/t/typo3-src/typo3-src-4.0_4.0.2+debian-5_all.deb

Les sommes MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.