Säkerhetsbulletin från Debian

DSA-2445-1 typo3-src -- flera sårbarheter

Rapporterat den:
2012-03-31
Berörda paket:
typo3-src
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Mitres CVE-förteckning: CVE-2012-1606, CVE-2012-1607, CVE-2012-1608.
Ytterligare information:

Man har upptäckt flera utifrån nåbara sårbarheter i hanteringsramverket för webbinnehåll TYPO3:

  • CVE-2012-1606

    Misslyckande att ordentligt HTML-koda användarindata på flera ställen, gör bakändan TYPO3 sårbar för sajtöverskridande skriptning. En giltig backend-användare krävs för att exploatera dessa sårbarheter.

  • CVE-2012-1607

    Åtkomst till ett CLI-skript direkt med en webbläsare kan avslöja databasnamnet som använts för TYPO3-installationen.

  • CVE-2012-1608

    Genom att inte ta bort icke-utskrivbara tecken, kan API-metoden t3lib_div::RemoveXSS() misslyckas att filtrera speciellt skapade HTML-injektioner. och är därmed sårbar för sajtöverskridande skriptning.

För den stabila utgåvan (Squeeze) har dessa problem rättats i version 4.3.9+dfsg1-1+squeeze3.

För uttestningsutgåvan (Wheezy) och den instabila utgåvan (Sid) har dessa problem rättats i version 4.5.14+dfsg1-1.

Vi rekommenderar att ni uppgraderar era typo3-src-paket.