Säkerhetsbulletin från Debian

DSA-2455-1 typo3-src -- bristande rengöring av indata

Rapporterat den:
2012-04-20
Berörda paket:
typo3-src
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Debians felrapporteringssystem: Fel 669158.
I Mitres CVE-förteckning: CVE-2012-2112.
Ytterligare information:

Helmut Hummel från säkerhetsgruppen bakom TYPO3 upptäckte att TYPO3, ett hanteringssystem för webbinnehåll, inte rengör indata ordentligt från undantagshanteraren. Detta tillåter en fjärrangripare att utföra domänöverskridande skriptangrepp om antingen tredjepartstillägg är installerade som inte rengör denna indata på egen hand, eller om tillägg använder ramverket extbase MVC som accepterar objekt till controller-handlingar.

För den stabila utgåvan (Squeeze) har detta problem rättats i version 4.3.9+dfsg1-1+squeeze4.

För uttestningsutgåvan (Wheezy) och den instabila distributionen (Sid), kommer detta problem att rättas inom kort..

Vi rekommenderar att ni uppgraderar era typo3-src-paket.