Рекомендация Debian по безопасности

DSA-2537-1 typo3-src -- несколько уязвимостей

Дата сообщения:
30.08.2012
Затронутые пакеты:
typo3-src
Уязвим:
Да
Ссылки на базы данных по безопасности:
В каталоге Mitre CVE: CVE-2012-3527, CVE-2012-3528, CVE-2012-3529, CVE-2012-3530, CVE-2012-3531.
Более подробная информация:

В TYPO3, системе управления содержимым, было обнаружено несколько уязвимостей.

  • CVE-2012-3527

    Небезопасный вызов десериализации в системе помощи позволяет аутентифицированным пользователям выполнять произвольный код.

  • CVE-2012-3528

    Движок TYPO3 содержит несколько случаев межсайтового скриптинга.

  • CVE-2012-3529

    Аутентифицированные пользователи, которые могут получить доступ к модулю настройки, могут получить ключ шифрования, что позволяет им повысить свои привилегии.

  • CVE-2012-3530

    RemoveXSS, инструмент для очистки HTML, не удаляет некоторый код HTML5 JavaScript, что не позволяет снизить влияние межсайтового скриптинга.

В стабильном выпуске (squeeze) эти проблемы были исправлены в версии 4.3.9+dfsg1-1+squeeze5.

В тестируемом (wheezy) и нестабильном (sid) выпуска эти проблемы были исправлены в версии 4.5.19+dfsg1-1.

Рекомендуется обновить пакеты typo3-src.