Debian-Sicherheitsankündigung
DSA-1720-1 typo3-src -- Mehrere Verwundbarkeiten
- Datum des Berichts:
- 10. Feb 2009
- Betroffene Pakete:
- typo3-src
- Verwundbar:
- Ja
- Sicherheitsdatenbanken-Referenzen:
- In der Debian-Fehlerdatenbank: Fehler 514713.
- Weitere Informationen:
-
In TYPO3, einem System für die Betreuung von Web-Inhalten, wurden mehrere entfernt ausnutzbare Verwundbarkeiten entdeckt.
Marcus Krause und Michael Stucki vom TYPO3-Sicherheitsteam entdeckten, dass der jumpUrl-Mechanismus geheime
hashes
enthüllt, was es entfernten Angreifern ermöglicht, die Zugangskontrolle zu umgehen, indem sie den korrekten Wert als URL-Parameter vorlegen. Dies ermöglicht es, den Inhalt beliebiger Dateien zu lesen.Jelmer de Hen und Dmitry Dulepov entdeckten mehrere Verwundbarkeiten für Site-übergreifendes Skripting im Backend der Benutzerschnittstelle, die es entfernten Angreifern erlaubt, beliebige Webskripte oder HTML-Code einzuschleusen.
Da es sehr wahrscheinlich ist, dass Ihr Chiffrierschlüssel ungeschützt war, empfehlen wir Ihnen, den Schlüssel mit Hilfe des Installationsprogrammes zu ändern, nachdem Sie die Aktualisierung installiert haben.
Für die Stable-Distribution (Etch) wurden diese Probleme in Version 4.0.2+debian-8 behoben.
Für die Testing-Distribution (Lenny) wurden diese Probleme in Version 4.2.5-1+lenny1 behoben.
Für die Unstable-Distribution (Sid) wurden diese Probleme in Version 4.2.6-1 behoben.
Wir empfehlen Ihnen, Ihr typo3-Paket zu aktualisieren.
- Behoben in:
-
Debian GNU/Linux 4.0 (etch)
- Quellcode:
- http://security.debian.org/pool/updates/main/t/typo3-src/typo3-src_4.0.2+debian-8.dsc
- http://security.debian.org/pool/updates/main/t/typo3-src/typo3-src_4.0.2+debian-8.diff.gz
- http://security.debian.org/pool/updates/main/t/typo3-src/typo3-src_4.0.2+debian.orig.tar.gz
- http://security.debian.org/pool/updates/main/t/typo3-src/typo3-src_4.0.2+debian-8.diff.gz
- Architektur-unabhängige Dateien:
- http://security.debian.org/pool/updates/main/t/typo3-src/typo3-src-4.0_4.0.2+debian-8_all.deb
- http://security.debian.org/pool/updates/main/t/typo3-src/typo3_4.0.2+debian-8_all.deb
- http://security.debian.org/pool/updates/main/t/typo3-src/typo3_4.0.2+debian-8_all.deb
MD5-Prüfsummen der aufgeführten Dateien stehen in der ursprünglichen Sicherheitsankündigung zur Verfügung.