Рекомендация Debian по безопасности

DSA-2646-1 typo3-src -- несколько уязвимостей

Дата сообщения:
15.03.2013
Затронутые пакеты:
typo3-src
Уязвим:
Да
Ссылки на базы данных по безопасности:
В системе отслеживания ошибок Debian: Ошибка 702574.
В каталоге Mitre CVE: CVE-2013-1842, CVE-2013-1843.
Более подробная информация:

Обнаружено, что TYPO3, система управления содержимым на основе PHP, имеет несколько уязвимостей.

  • CVE-2013-1842

    Гельмут Гуммель и Маркус Опале обнаружили, что прослойка баз данных Extbase неправильно очищает пользовательский ввод при использовании объектной модели Query. Это может приводить к SQL-инъекции в случае, если пользователь введёт специально сформированные реляционные значения.

  • CVE-2013-1843

    Отсутствие проверки пользовательского ввода в случаях доступа к механизму отслеживания может приводить к перенаправлению на произвольный URL.

    Внимание: применение данного исправления приведёт к поломке опубликованных ссылок. В совете из основной ветки разработки TYPO3-CORE-SA-2013-001 содержится дополнительная информация о том, как с этим справиться.

В стабильном выпуске (squeeze) эти проблемы были исправлены в версии 4.3.9+dfsg1-1+squeeze8.

В тестируемом выпуске (wheezy) эти проблемы были исправлены в версии 4.5.19+dfsg1-5.

В нестабильном выпуске (sid) эти проблемы были исправлены в версии 4.5.19+dfsg1-5.

Рекомендуется обновить пакеты typo3-src.