Bulletin d'alerte Debian

DSA-2445-1 typo3-src -- Plusieurs vulnérabilités

Date du rapport :
31 mars 2012
Paquets concernés :
typo3-src
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2012-1606, CVE-2012-1607, CVE-2012-1608.
Plus de précisions :

Plusieurs vulnérabilités distantes ont été découvertes dans l'environnement de gestion de contenu web TYPO3.

  • CVE-2012-1606

    Échec d'encodage HTML correct de l'entrée utilisateur à divers endroits : le moteur TYPO3 est sensible au script intersite. Un utilisateur valable du moteur est nécessaire pour exploiter ces vulnérabilités.

  • CVE-2012-1607

    L'accès direct à un script en ligne de commande avec un navigateur pourrait dévoiler le nom de la base de données utilisée pour l'installation de TYPO3.

  • CVE-2012-1608

    En ne retirant pas les caractères non imprimables, la méthode d'interface de programmation t3lib_div::RemoveXSS() n'arrive pas à filtrer les injections HTML contrefaites pour l'occasion, rendant ainsi sensible au script intersite.

Pour la distribution stable (Squeeze), ces problèmes ont été corrigés dans la version 4.3.9+dfsg1-1+squeeze3.

Pour la distribution testing (Wheezy) et la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 4.5.14+dfsg1-1.

Nous vous recommandons de mettre à jour vos paquets typo3-src.