Informations de sécurité / 2012 / Informations sur la sécurité -- DSA-2445-1 typo3-src

Bulletin d'alerte Debian

DSA-2445-1 typo3-src -- Plusieurs vulnérabilités

Date du rapport :

31 mars 2012

Paquets concernés :

typo3-src

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2012-1606, CVE-2012-1607, CVE-2012-1608.

Plus de précisions :

Plusieurs vulnérabilités distantes ont été découvertes dans l'environnement de gestion de contenu web TYPO3.

• CVE-2012-1606

  Échec d'encodage HTML correct de l'entrée utilisateur à divers endroits : le moteur TYPO3 est sensible au script intersite. Un utilisateur valable du moteur est nécessaire pour exploiter ces vulnérabilités.

• CVE-2012-1607

  L'accès direct à un script en ligne de commande avec un navigateur pourrait dévoiler le nom de la base de données utilisée pour l'installation de TYPO3.

• CVE-2012-1608

  En ne retirant pas les caractères non imprimables, la méthode d'interface de programmation t3lib_div::RemoveXSS() n'arrive pas à filtrer les injections HTML contrefaites pour l'occasion, rendant ainsi sensible au script intersite.

Pour la distribution stable (Squeeze), ces problèmes ont été corrigés dans la version 4.3.9+dfsg1-1+squeeze3.

Pour la distribution testing (Wheezy) et la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 4.5.14+dfsg1-1.

Nous vous recommandons de mettre à jour vos paquets typo3-src.