Информация по безопасности / 2012 / Информация о безопасности -- DSA-2455-1 typo3-src

Рекомендация Debian по безопасности

DSA-2455-1 typo3-src -- отсутствие очистки ввода

Дата сообщения:

20.04.2012

Затронутые пакеты:

typo3-src

Уязвим:

Да

Ссылки на базы данных по безопасности:

В системе отслеживания ошибок Debian: Ошибка 669158.
В каталоге Mitre CVE: CVE-2012-2112.

Более подробная информация:

Гельмут Гуммель из команды безопасности TYPO3 обнаружил, что TYPO3, система управления содержимым веб-сайтов, неправильно очищает вывод обработчика исключений. Это позволяет злоумышленнику выполнять атаки по принципу межсайтового скриптинга в случае, если либо в системе установлены сторонние расширения, которые не выполняют очистку этого вывода самостоятельно, либо присутствуют расширения, использующие инфраструктуру extbase MVC, принимающую объекты для действий контроллера.

В стабильном выпуске (squeeze) эта проблема была исправлена в версии 4.3.9+dfsg1-1+squeeze4.

В тестируемом (wheezy) и нестабильном (sid) выпусках эта проблема будет исправлена позже.

Рекомендуется обновить пакеты typo3-src.