Bulletin d'alerte Debian
DSA-2537-1 typo3-src -- Plusieurs vulnérabilités
- Date du rapport :
- 30 août 2012
- Paquets concernés :
- typo3-src
- Vulnérabilité :
- Oui
- Références dans la base de données de sécurité :
- Dans le dictionnaire CVE du Mitre : CVE-2012-3527, CVE-2012-3528, CVE-2012-3529, CVE-2012-3530, CVE-2012-3531.
- Plus de précisions :
-
Plusieurs vulnérabilités ont été découvertes dans TYPO3, un système de gestion de contenu web.
- CVE-2012-3527
Un appel non sécurisé pour désérialiser dans le système d'aide permet l'exécution de code arbitraire par les utilisateurs authentifiés.
- CVE-2012-3528
Le moteur de TYPO3 contient plusieurs vulnérabilités de script intersite.
- CVE-2012-3529
Les utilisateurs authentifiés qui peuvent accéder au module de configuration peuvent obtenir la clef de chiffrement, leur permettant d'augmenter leurs droits.
- CVE-2012-3530
Le nettoyeur de HTML RemoveXSS ne supprimait pas plusieurs JavaScript HTML5, échouant ainsi à atténuer l'impact des vulnérabilités de script intersite.
Pour la distribution stable (Squeeze), ces problèmes ont été corrigés dans la version 4.3.9+dfsg1-1+squeeze5.
Pour la distribution testing (Wheezy) et la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 4.5.19+dfsg1-1.
Nous vous recommandons de mettre à jour vos paquets typo3-src.
- CVE-2012-3527