Debian セキュリティ勧告

DSA-2121-1 typo3-src -- 複数の脆弱性

報告日時:
2010-10-19
影響を受けるパッケージ:
typo3-src
危険性:
あり
参考セキュリティデータベース:
Mitre の CVE 辞書: CVE-2010-3714, CVE-2010-3715, CVE-2010-3716, CVE-2010-3717.
詳細:

ウェブコンテンツ管理フレームワーク TYPO3 に、リモートから攻撃可能な複 数の問題が発見されました。The Common The Common Vulnerabilities and Exposures project は以下の問題を認識しています。

  • CVE-2010-3714

    複数のリモートからファイル内容が読み取れる欠陥が Extension Manager の jumpUrl メカニズムに存在し、攻撃者が実行中のウェブ サーバアカウント権限でファイルの読み取りが可能です。

  • CVE-2010-3715

    TYPO3 バックエンドにクロスサイトスクリプティング攻撃を許す複数 の欠陥があり、RemoveXSS 関数で全ての Javascript コードが除去で きていません。

  • CVE-2010-3716

    ユーザ作成権限のある悪意を持った編集者が、taskcenter での入力の 検証漏れのため、任意のグループに新しいユーザを作成できるため、 特権の昇格が可能です。

  • CVE-2010-3717

    TYPO3 の filter_var 関数にクラッシュを起こす欠陥があり、攻撃者 がウェブサーバのプロセスをクラッシュさせてシステムリソースを消 費することが可能です。

安定版 (stable) ディストリビューション (lenny) では、これらの問題はバー ジョン 4.2.5-1+lenny6 で修正されています。

不安定版 (unstable) および次期安定版 (squeeze および sid) ディストリビ ューションでは、これらの問題はバージョン 4.3.7-1 で修正されています。

直ぐに TYPO3 パッケージをアップグレードすることを勧めます。

修正:

Debian GNU/Linux 5.0 (lenny)

ソース:
http://security.debian.org/pool/updates/main/t/typo3-src/typo3-src_4.2.5.orig.tar.gz
http://security.debian.org/pool/updates/main/t/typo3-src/typo3-src_4.2.5-1+lenny6.dsc
http://security.debian.org/pool/updates/main/t/typo3-src/typo3-src_4.2.5-1+lenny6.diff.gz
アーキテクチャ非依存コンポーネント:
http://security.debian.org/pool/updates/main/t/typo3-src/typo3-src-4.2_4.2.5-1+lenny6_all.deb
http://security.debian.org/pool/updates/main/t/typo3-src/typo3_4.2.5-1+lenny6_all.deb

一覧にあるファイルの MD5 チェックサムは勧告の原文にあります。