Debian セキュリティ勧告

DSA-2445-1 typo3-src -- 複数の脆弱性

報告日時:
2012-03-31
影響を受けるパッケージ:
typo3-src
危険性:
あり
参考セキュリティデータベース:
Mitre の CVE 辞書: CVE-2012-1606, CVE-2012-1607, CVE-2012-1608.
詳細:

TYPO3 ウェブコンテンツ管理フレームワークに、リモートから攻撃可能な複数 の問題が発見されました。

  • CVE-2012-1606

    ユーザ入力を HTML エンコードする処理が複数箇所で適切に行われて おらず、TYPO3 バックエンドでクロスサイトスクリプティング攻撃を 許す可能性があります。この欠陥を攻撃するためには、有効なバック エンドユーザ権限が必要です。

  • CVE-2012-1607

    ブラウザにより CLI スクリプトを直接アクセスすることにより、 TYPO3 設定で利用されているデータベース名を知ることが可能です。

  • CVE-2012-1608

    印刷不可の文字が適切に除去されていないため、API メソッド t3lib_div::RemoveXSS() で細工した HTML インジェクション攻撃を 正しくフィルタできず、クロスサイトスクリプティング攻撃を許す可 能性があります。

安定版 (stable) ディストリビューション (squeeze) では、これらの問題は バージョン 4.3.9+dfsg1-1+squeeze3 で修正されています。

テスト版 (wheezy) および不安定版 (unstable) ディストリビューションでは、 これらの問題はバージョン 4.5.14+dfsg1-1 で修正されています。

直ぐに typo3-src パッケージをアップグレードすることを勧めます。