Debians sikkerhedsbulletin

DSA-2455-1 typo3-src -- manglende fornuftighedskontrol af inddata

Rapporteret den:
20. apr 2012
Berørte pakker:
typo3-src
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Debians fejlsporingssystem: Fejl 669158.
I Mitres CVE-ordbog: CVE-2012-2112.
Yderligere oplysninger:

Helmut Hummel fra TYPO3's sikkerhedsteam, opdagede at TYPO3, et system til håndtering af webinhold, ikke på korrekt vis fornuftighedskontrollerede uddata fra exceptionhandleren. Dermed var det muligt for en angriber, at iværksætte angreb i forbindelse med udførelse af skripter på tværs af websteder, hvis enten en trejdepartsudvidelse var installeret, som ikke foretog fornuftighedskontrol af disse uddata på egen hånd eller hvis der var udvidelser, som anvender extbase MVC-frameworket, som accepterer objects to controller-handlinger.

I den stabile distribution (squeeze), er dette problem rettet i version 4.3.9+dfsg1-1+squeeze4.

I distributionen testing (wheezy) og i den ustabile distribution (sid), vil dette problem snart blive rettet.

Vi anbefaler at du opgraderer dine typo3-src-pakker.