Рекомендация Debian по безопасности

DSA-1720-1 typo3-src -- несколько уязвимостей

Дата сообщения:
10.02.2009
Затронутые пакеты:
typo3-src
Уязвим:
Да
Ссылки на базы данных по безопасности:
В системе отслеживания ошибок Debian: Ошибка 514713.
Более подробная информация:

В TYPO3, инфраструктуре управления веб-содержимым, было обнаружено несколько удалённых уязвимостей.

Маркус Краузе и Михаэль Штуки из команды безопасности TYPO3 обнаружили, что механизм jumpUrl раскрывает секретные хеши, позволяя удалённому злоумышленнику обходить управление доступом путём отправки корректного значения в качестве параметра URL, что позволяет считывать содержимое произвольных файлов.

Йелмер де Хен и Дмитрий Дулепов обнаружили многочисленные случаи межсайтового скриптинга в интерфейсе пользовательского движка, которые позволяют удалённым злоумышленникам вводить произвольный веб-сценарий или код HTML.

Поскольку вполне вероятно, что ваш ключ шифрования был раскрыт, настоятельно рекомендуется изменить ключ шифрования с помощью инструмента установки после установки данного обновления.

В стабильном выпуске (etch) эти проблемы были исправлены в версии 4.0.2+debian-8.

В тестируемом выпуске (lenny) эти проблемы были исправлены в версии 4.2.5-1+lenny1.

В нестабильном выпуске (sid) эти проблемы были исправлены в версии 4.2.6-1.

Рекомендуется обновить пакет typo3.

Исправлено в:

Debian GNU/Linux 4.0 (etch)

Исходный код:
http://security.debian.org/pool/updates/main/t/typo3-src/typo3-src_4.0.2+debian-8.dsc
http://security.debian.org/pool/updates/main/t/typo3-src/typo3-src_4.0.2+debian-8.diff.gz
http://security.debian.org/pool/updates/main/t/typo3-src/typo3-src_4.0.2+debian.orig.tar.gz
Независимые от архитектуры компоненты:
http://security.debian.org/pool/updates/main/t/typo3-src/typo3-src-4.0_4.0.2+debian-8_all.deb
http://security.debian.org/pool/updates/main/t/typo3-src/typo3_4.0.2+debian-8_all.deb

Контрольные суммы MD5 этих файлов доступны в исходном сообщении.