セキュリティ情報 / 2012 / セキュリティ情報 -- DSA-2537-1 typo3-src

Debian セキュリティ勧告

DSA-2537-1 typo3-src -- 複数の脆弱性

報告日時:

2012-08-30

影響を受けるパッケージ:

typo3-src

危険性:

あり

参考セキュリティデータベース:

Mitre の CVE 辞書: CVE-2012-3527, CVE-2012-3528, CVE-2012-3529, CVE-2012-3530, CVE-2012-3531.

詳細:

コンテンツ管理システム TYPO3 に複数の脆弱性が見つかりました。

• CVE-2012-3527

  ヘルプシステム内の unserialize の危険な呼び出しが原因で，認証済みの 利用者が任意のコードを実行できます。

• CVE-2012-3528

  TYPO3 の舞台裏の仕掛けには複数のクロスサイトスクリプティング脆弱性が あります。

• CVE-2012-3529

  設定モジュールを触ることができる認証済みの利用者は暗号鍵を手に入れ られますが、そのせいで権限の昇格ができてしまいます。

• CVE-2012-3530

  RemoveXSS と言う HTML の無害化処理がいくつかの HTML5 Javascript を 除去しておらず、 結果としてクロスサイトスクリプティング脆弱性の影響 を軽減することに失敗しています。

安定版 (stable) ディストリビューション (squeeze) では、これらの問題はバー ジョン 4.3.9+dfsg1-1+squeeze5 で修正されています。

テスト版 (wheezy) および不安定版 (unstable) ディストリビューションでは、 これらの問題はバージョン 4.5.19+dfsg1-1 で修正されています。

直ぐに typo3-src パッケージをアップグレードすることを勧めます。