Sikkerhedsoplysninger / 2013 / Sikkerhedsoplysninger -- DSA-2646-1 typo3-src

Debians sikkerhedsbulletin

DSA-2646-1 typo3-src -- flere sårbarheder

Rapporteret den:

15. mar 2013

Berørte pakker:

typo3-src

Sårbar:

Ja

Referencer i sikkerhedsdatabaser:

I Debians fejlsporingssystem: Fejl 702574.
I Mitres CVE-ordbog: CVE-2013-1842, CVE-2013-1843.

Yderligere oplysninger:

TYPO3, et PHP-baseret system til indholdshåndtering, viste sig at indeholde flere sårbarheder.

• CVE-2013-1842

  Helmut Hummel og Markus Opahle opdagede at Extbase-databaselaget ikke på korrekt vis fornuftigheskontrollerede brugerinddata, når Query-objektmodellen blev anvendt. Det kunne føre til SQL-indsprøjtning, ved at en ondsindet brugere leverede fabrikerede relationsværdier.

• CVE-2013-1843

  Manglende validering af brugerinddata i adgangssporingsmekanismen, kunne føre til vilkårlige URL-omdirigeringer.

  Bemærk: Retten medfører at allerede offentliggjorte links ikke længere fungerer. Opstrøms bulletin TYPO3-CORE-SA-2013-001, indeholder flere oplysninger om hvordan det løses.

I den stabile distribution (squeeze), er disse problemer rettet i version 4.3.9+dfsg1-1+squeeze8.

I distributionen testing (wheezy), er disse problemer rettet i version 4.5.19+dfsg1-5.

I den ustabile distribution (sid), er disse problemer rettet i version 4.5.19+dfsg1-5.

Vi anbefaler at du opgraderer dine typo3-src-pakker.