Debians sikkerhedsbulletin

DSA-2646-1 typo3-src -- flere sårbarheder

Rapporteret den:
15. mar 2013
Berørte pakker:
typo3-src
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Debians fejlsporingssystem: Fejl 702574.
I Mitres CVE-ordbog: CVE-2013-1842, CVE-2013-1843.
Yderligere oplysninger:

TYPO3, et PHP-baseret system til indholdshåndtering, viste sig at indeholde flere sårbarheder.

  • CVE-2013-1842

    Helmut Hummel og Markus Opahle opdagede at Extbase-databaselaget ikke på korrekt vis fornuftigheskontrollerede brugerinddata, når Query-objektmodellen blev anvendt. Det kunne føre til SQL-indsprøjtning, ved at en ondsindet brugere leverede fabrikerede relationsværdier.

  • CVE-2013-1843

    Manglende validering af brugerinddata i adgangssporingsmekanismen, kunne føre til vilkårlige URL-omdirigeringer.

    Bemærk: Retten medfører at allerede offentliggjorte links ikke længere fungerer. Opstrøms bulletin TYPO3-CORE-SA-2013-001, indeholder flere oplysninger om hvordan det løses.

I den stabile distribution (squeeze), er disse problemer rettet i version 4.3.9+dfsg1-1+squeeze8.

I distributionen testing (wheezy), er disse problemer rettet i version 4.5.19+dfsg1-5.

I den ustabile distribution (sid), er disse problemer rettet i version 4.5.19+dfsg1-5.

Vi anbefaler at du opgraderer dine typo3-src-pakker.