TYPO3 ウェブコンテンツ管理フレームワークに複数のリモートから攻撃可能な 欠陥が発見されました。 The Common Vulnerabilities and Exposures project は以下の問題を認識しています。
Chris John Riley さんにより、TYPO3 全体で用いている暗号鍵の乱数シー ドの乱数さが不足しており、攻撃者がキーを破ることが容易になっている ことが発見されました。
Marcus Krause さんにより、TYPO3 が認証時供給されたセッションを無効 化していないため、セッション固定化攻撃により被害者のセッションを盗 み取ることができることが発見されました。
Multiple cross-site scripting vulnerabilities allow 複数のクロスサイ トスクリプティング欠陥により、インデックスサーチシステム拡張、adodb 拡張テストスクリプト、workspace モジュールなどの様々な引数やユーザ供 給の文字列を使って、リモートの攻撃者が任意のウェブスクリプトや HTML を注入可能です。
Mads Olesen さんにより、インデックスサーチシステム拡張にコマンドイン ジェクションを許す欠陥があり、攻撃者による細工されたファイル名がエス ケープされずにインデックスのためのファイル内容抽出を行う様々なツール に渡るため、任意のコマンドを実行可能です。
CVE-2009-0255 のため、この更新インストールの後、別途暗号鍵の再作成を必ず 行ってください。
安定版 (stable) ディストリビューション (etch) では、これらの問題はバージ ョン 4.0.2+debian-7 で修正されています。
不安定版 (unstable) ディストリビューション (sid) では、これらの問題はバー ジョン 4.2.5-1 で修正されています。
直ぐに TYPO3 パッケージをアップグレードすることを勧めます。
一覧にあるファイルの MD5 チェックサムは勧告の原文にあります。