Debian セキュリティ勧告

DSA-1720-1 typo3-src -- 複数の脆弱性

報告日時:
2009-02-10
影響を受けるパッケージ:
typo3-src
危険性:
あり
参考セキュリティデータベース:
Debian バグ追跡システム: バグ 514713.
詳細:

TYPO3 ウェブコンテンツ管理フレームワークに複数のリモートから攻撃可能な 欠陥が発見されました。

TYPO3 セキュリティチームの Marcus Krause さんと Michael Stucki さんに より、jumpUrl 機構が秘密ハッシュ値を漏洩するため、リモートの攻撃者が URL パラメータに正規の値を設定してアクセス制御を回避可能で、任意のファイル の読み込みが可能であることが発見されました。

Jelmer de Hen さんと Dmitry Dulepov さんにより、バックエンドユーザインタ ーフェースに複数のクロスサイトスクリプティング欠陥があり、リモートの攻撃 者が任意のウェブスクリプトや HTML を挿入可能であることが発見されました。

また、暗号鍵が漏洩した可能性が高いため、更新実行後インストールツールを用 いて暗号鍵を変更することを強く推奨します。

安定版 (stable) ディストリビューション (etch) では、これらの問題はバージ ョン 4.0.2+debian-8 で修正されています。

テスト版ディストリビューション (lenny)では、これらの問題はバージョン 4.2.5-1+lenny1 で修正されています。

不安定版 (unstable) ディストリビューション (sid) では、これらの問題はバー ジョン 4.2.6-1 で修正されています。

直ぐに typo3 パッケージをアップグレードすることを勧めます。

修正:

Debian GNU/Linux 4.0 (etch)

ソース:
http://security.debian.org/pool/updates/main/t/typo3-src/typo3-src_4.0.2+debian-8.dsc
http://security.debian.org/pool/updates/main/t/typo3-src/typo3-src_4.0.2+debian-8.diff.gz
http://security.debian.org/pool/updates/main/t/typo3-src/typo3-src_4.0.2+debian.orig.tar.gz
アーキテクチャ非依存コンポーネント:
http://security.debian.org/pool/updates/main/t/typo3-src/typo3-src-4.0_4.0.2+debian-8_all.deb
http://security.debian.org/pool/updates/main/t/typo3-src/typo3_4.0.2+debian-8_all.deb

一覧にあるファイルの MD5 チェックサムは勧告の原文にあります。