Рекомендация Debian по безопасности

DSA-2445-1 typo3-src -- несколько уязвимостей

Дата сообщения:
31.03.2012
Затронутые пакеты:
typo3-src
Уязвим:
Да
Ссылки на базы данных по безопасности:
В каталоге Mitre CVE: CVE-2012-1606, CVE-2012-1607, CVE-2012-1608.
Более подробная информация:

В TYPO3, инфраструктуре управления веб-содержимым, было обнаружено несколько удалённых уязвимостей:

  • CVE-2012-1606

    Из-за невозможности корректно закодировать в виде HTML пользовательские входные данные в ряде мест предполагается, что движок TYPO3 уязвим к межсайтовому скриптингу. Для использования этих уязвимостей злоумышленник должен быть корректным пользователем движка.

  • CVE-2012-1607

    Принятие CLI-сценария напрямую в браузере может привести к раскрытию базы данных имён, использованных для установки TYPO3.

  • CVE-2012-1608

    Из-за того, что API-метод t3lib_div::RemoveXSS() не удаляет непечатные символы, он не может отфильтровать специально сформированный код HTML, что делает его уязвимым к межсайтовому скриптингу.

В стабильном выпуске (squeeze) эти проблемы были исправлены в версии 4.3.9+dfsg1-1+squeeze3.

В тестируемом (wheezy) и нестабильном (sid) выпусках эти проблемы были исправлены в версии 4.5.14+dfsg1-1.

Рекомендуется обновить пакеты typo3-src.