Debian セキュリティ勧告

DSA-2646-1 typo3-src -- 複数の脆弱性

報告日時:
2013-03-15
影響を受けるパッケージ:
typo3-src
危険性:
あり
参考セキュリティデータベース:
Debian バグ追跡システム: バグ 702574.
Mitre の CVE 辞書: CVE-2013-1842, CVE-2013-1843.
詳細:

PHP ベースのコンテント管理システム TYPO3 が複数の脆弱性に対して脆弱であることがわかりました。

  • CVE-2013-1842

    Helmut Hummel さんと Markus Opahle さんが、Extbase データベース抽象化レイヤがクエリオブジェクトモデル (Query Object Model) を利用している場合にユーザによる入力のサニタイズを正しく行っていないことを発見しました。 悪意のあるユーザが細工した相対値を入力することにより SQL インジェクションにつながる可能性があります。

  • CVE-2013-1843

    ユーザ入力の検証欠落により、アクセス追跡機構が任意の URL へのリダイレクトを許す可能性があります。

    注意: この修正により、既に公開されているリンクが使えなくなります。 上流の勧告 TYPO3-CORE-SA-2013-001 にその緩和策についての情報があります。

安定版 (stable) ディストリビューション (squeeze) では、この問題はバージョン 4.3.9+dfsg1-1+squeeze8 で修正されています。

テスト版 (testing) ディストリビューション (wheezy) では、この問題はバージョン 4.5.19+dfsg1-5 で修正されています。

不安定版 (unstable) ディストリビューション (sid) では、この問題はバージョン 4.5.19+dfsg1-5 で修正されています。

直ちに typo3-src パッケージをアップグレードすることを勧めます。