セキュリティ情報 / 2012 / セキュリティ情報 -- DSA-2445-1 typo3-src

Debian セキュリティ勧告

DSA-2445-1 typo3-src -- 複数の脆弱性

報告日時:

2012-03-31

影響を受けるパッケージ:

typo3-src

危険性:

あり

参考セキュリティデータベース:

Mitre の CVE 辞書: CVE-2012-1606, CVE-2012-1607, CVE-2012-1608.

詳細:

TYPO3 ウェブコンテンツ管理フレームワークに、リモートから攻撃可能な複数 の問題が発見されました。

• CVE-2012-1606

  ユーザ入力を HTML エンコードする処理が複数箇所で適切に行われて おらず、TYPO3 バックエンドでクロスサイトスクリプティング攻撃を 許す可能性があります。この欠陥を攻撃するためには、有効なバック エンドユーザ権限が必要です。

• CVE-2012-1607

  ブラウザにより CLI スクリプトを直接アクセスすることにより、 TYPO3 設定で利用されているデータベース名を知ることが可能です。

• CVE-2012-1608

  印刷不可の文字が適切に除去されていないため、API メソッド t3lib_div::RemoveXSS() で細工した HTML インジェクション攻撃を 正しくフィルタできず、クロスサイトスクリプティング攻撃を許す可 能性があります。

安定版 (stable) ディストリビューション (squeeze) では、これらの問題は バージョン 4.3.9+dfsg1-1+squeeze3 で修正されています。

テスト版 (wheezy) および不安定版 (unstable) ディストリビューションでは、 これらの問題はバージョン 4.5.14+dfsg1-1 で修正されています。

直ぐに typo3-src パッケージをアップグレードすることを勧めます。