Bulletin d'alerte Debian

DSA-2455-1 typo3-src -- Absence de vérification des entrées

Date du rapport :
20 avril 2012
Paquets concernés :
typo3-src
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 669158.
Dans le dictionnaire CVE du Mitre : CVE-2012-2112.
Plus de précisions :

Helmut Hummel de l'équipe de sécurité de TYPO3 a découvert que TYPO3, un système de gestion de contenu web, ne vérifie pas correctement la sortie du traitement d'exception. Cela permet à un attaquant de réaliser des attaques par script intersite si des extensions tierces qui ne vérifient pas cette sortie elles-mêmes sont installées ou en présence d'extensions utilisant l'environnement MVC extbase qui accepte des objets pour les actions de contrôleur.

Pour la distribution stable (Squeeze), ce problème a été corrigé dans la version 4.3.9+dfsg1-1+squeeze4.

Pour les distributions testing (Wheezy) et unstable (Sid), ce problème sera corrigé prochainement.

Nous vous recommandons de mettre à jour vos paquets typo3-src.