Säkerhetsbulletin från Debian

DSA-1596-1 typo3 -- flera sårbarheter

Rapporterat den:
2008-06-12
Berörda paket:
typo3
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Debians felrapporteringssystem: Fel 485814.
I Mitres CVE-förteckning: CVE-2008-2717, CVE-2008-2718.
Ytterligare information:

Flera utifrån nåbara sårbarheter har upptäckts i innehållshanteringsramverket TYPO3.

På grund av att standardinställningen för TYPO3:s konfigurationsvariabel fileDenyPattern inte var tillräckligt säker kunde autentiserade användare av baksidan sända in filer som gjorde det möjligt att exekvera godtycklig kod som webbserveranvändaren.

Indata från användaren som behandlades av fe_adminlib.inc filtrerades inte korrekt för att förhindra serveröverskridande angrepp (XSS), och det exponerades när vissa specifika insticksprogram var i bruk.

För den stabila utgåvan (Etch) har dessa problem rättats i version 4.0.2+debian-5.

För den instabila utgåvan (Sid) har dessa problem rättats i version 4.1.7-1.

Vi rekommenderar att ni uppgraderar ert typo3-paket.

Rättat i:

Debian GNU/Linux 4.0 (etch)

Källkod:
http://security.debian.org/pool/updates/main/t/typo3-src/typo3-src_4.0.2+debian-5.dsc
http://security.debian.org/pool/updates/main/t/typo3-src/typo3-src_4.0.2+debian.orig.tar.gz
http://security.debian.org/pool/updates/main/t/typo3-src/typo3-src_4.0.2+debian-5.diff.gz
Arkitekturoberoende komponent:
http://security.debian.org/pool/updates/main/t/typo3-src/typo3_4.0.2+debian-5_all.deb
http://security.debian.org/pool/updates/main/t/typo3-src/typo3-src-4.0_4.0.2+debian-5_all.deb

MD5-kontrollsummor för dessa filer finns i originalbulletinen.