Debian セキュリティ勧告
DSA-1711-1 typo3-src -- 複数の脆弱性
- 報告日時:
- 2009-01-26
- 影響を受けるパッケージ:
- typo3-src
- 危険性:
- あり
- 参考セキュリティデータベース:
- Debian バグ追跡システム: バグ 512608.
(SecurityFocus の) Bugtraq データベース: BugTraq ID 33376.
Mitre の CVE 辞書: CVE-2009-0255, CVE-2009-0256, CVE-2009-0257, CVE-2009-0258. - 詳細:
-
TYPO3 ウェブコンテンツ管理フレームワークに複数のリモートから攻撃可能な 欠陥が発見されました。 The Common Vulnerabilities and Exposures project は以下の問題を認識しています。
- CVE-2009-0255
Chris John Riley さんにより、TYPO3 全体で用いている暗号鍵の乱数シー ドの乱数さが不足しており、攻撃者がキーを破ることが容易になっている ことが発見されました。
- CVE-2009-0256
Marcus Krause さんにより、TYPO3 が認証時供給されたセッションを無効 化していないため、セッション固定化攻撃により被害者のセッションを盗 み取ることができることが発見されました。
- CVE-2009-0257
Multiple cross-site scripting vulnerabilities allow 複数のクロスサイ トスクリプティング欠陥により、インデックスサーチシステム拡張、adodb 拡張テストスクリプト、workspace モジュールなどの様々な引数やユーザ供 給の文字列を使って、リモートの攻撃者が任意のウェブスクリプトや HTML を注入可能です。
- CVE-2009-0258
Mads Olesen さんにより、インデックスサーチシステム拡張にコマンドイン ジェクションを許す欠陥があり、攻撃者による細工されたファイル名がエス ケープされずにインデックスのためのファイル内容抽出を行う様々なツール に渡るため、任意のコマンドを実行可能です。
CVE-2009-0255 のため、この更新インストールの後、別途暗号鍵の再作成を必ず 行ってください。
安定版 (stable) ディストリビューション (etch) では、これらの問題はバージ ョン 4.0.2+debian-7 で修正されています。
不安定版 (unstable) ディストリビューション (sid) では、これらの問題はバー ジョン 4.2.5-1 で修正されています。
直ぐに TYPO3 パッケージをアップグレードすることを勧めます。
- CVE-2009-0255
- 修正:
-
Debian GNU/Linux 4.0 (etch)
- ソース:
- http://security.debian.org/pool/updates/main/t/typo3-src/typo3-src_4.0.2+debian.orig.tar.gz
- http://security.debian.org/pool/updates/main/t/typo3-src/typo3-src_4.0.2+debian-7.diff.gz
- http://security.debian.org/pool/updates/main/t/typo3-src/typo3-src_4.0.2+debian-7.dsc
- http://security.debian.org/pool/updates/main/t/typo3-src/typo3-src_4.0.2+debian-7.diff.gz
- アーキテクチャ非依存コンポーネント:
- http://security.debian.org/pool/updates/main/t/typo3-src/typo3_4.0.2+debian-7_all.deb
- http://security.debian.org/pool/updates/main/t/typo3-src/typo3-src-4.0_4.0.2+debian-7_all.deb
- http://security.debian.org/pool/updates/main/t/typo3-src/typo3-src-4.0_4.0.2+debian-7_all.deb
一覧にあるファイルの MD5 チェックサムは勧告の原文にあります。