Informations de sécurité / 2012 / Informations sur la sécurité -- DSA-2455-1 typo3-src

Bulletin d'alerte Debian

DSA-2455-1 typo3-src -- Absence de vérification des entrées

Date du rapport :

20 avril 2012

Paquets concernés :

typo3-src

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le système de suivi des bogues Debian : Bogue 669158.
Dans le dictionnaire CVE du Mitre : CVE-2012-2112.

Plus de précisions :

Helmut Hummel de l'équipe de sécurité de TYPO3 a découvert que TYPO3, un système de gestion de contenu web, ne vérifie pas correctement la sortie du traitement d'exception. Cela permet à un attaquant de réaliser des attaques par script intersite si des extensions tierces qui ne vérifient pas cette sortie elles-mêmes sont installées ou en présence d'extensions utilisant l'environnement MVC extbase qui accepte des objets pour les actions de contrôleur.

Pour la distribution stable (Squeeze), ce problème a été corrigé dans la version 4.3.9+dfsg1-1+squeeze4.

Pour les distributions testing (Wheezy) et unstable (Sid), ce problème sera corrigé prochainement.

Nous vous recommandons de mettre à jour vos paquets typo3-src.