Bulletin d'alerte Debian
DSA-2455-1 typo3-src -- Absence de vérification des entrées
- Date du rapport :
- 20 avril 2012
- Paquets concernés :
- typo3-src
- Vulnérabilité :
- Oui
- Références dans la base de données de sécurité :
- Dans le système de suivi des bogues Debian : Bogue 669158.
Dans le dictionnaire CVE du Mitre : CVE-2012-2112. - Plus de précisions :
-
Helmut Hummel de l'équipe de sécurité de TYPO3 a découvert que TYPO3, un système de gestion de contenu web, ne vérifie pas correctement la sortie du traitement d'exception. Cela permet à un attaquant de réaliser des attaques par script intersite si des extensions tierces qui ne vérifient pas cette sortie elles-mêmes sont installées ou en présence d'extensions utilisant l'environnement MVC extbase qui accepte des objets pour les actions de contrôleur.
Pour la distribution stable (Squeeze), ce problème a été corrigé dans la version 4.3.9+dfsg1-1+squeeze4.
Pour les distributions testing (Wheezy) et unstable (Sid), ce problème sera corrigé prochainement.
Nous vous recommandons de mettre à jour vos paquets typo3-src.