Säkerhetsbulletin från Debian

DSA-2646-1 typo3-src -- flera sårbarheter

Rapporterat den:
2013-03-15
Berörda paket:
typo3-src
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Debians felrapporteringssystem: Fel 702574.
I Mitres CVE-förteckning: CVE-2013-1842, CVE-2013-1843.
Ytterligare information:

Flera sårbarheter har upptäckts i TYPO3, ett PHP-baserat innehållshanteringssystem.

  • CVE-2013-1842

    Helmut Hummel och Markus Opahle upptäckte att databaslagret Extbase inte städar användarindata vid användning av objektmodellen Query. Detta kan leda till SQL-injicering av en illsasinnad användare som matar in utformade relationsvärden.

  • CVE-2013-1843

    Bristfällig validering av användarindata i åtkomstspårningsmekanismen kunde resultera i opålitlig omdirigering av URLer.

    Observera: denna rättelse kommer att förstöra redan publicerade länkar. Uppströmsbulletinen TYPO3-CORE-SA-2013-001 har mer information om hur du mildrar detta.

För den stabila utgåvan (Squeeze) har dessa problem rättats i version 4.3.9+dfsg1-1+squeeze8.

För uttestningsutgåvan (Wheezy) har dessa problem rättats i version 4.5.19+dfsg1-5.

För den instabila utgåvan (Sid) har dessa problem rättats i version 4.5.19+dfsg1-5.

Vi rekommenderar att ni uppgraderar era typo3-src-paket.