Информация по безопасности / 2012 / Информация о безопасности -- DSA-2537-1 typo3-src

Рекомендация Debian по безопасности

DSA-2537-1 typo3-src -- несколько уязвимостей

Дата сообщения:

30.08.2012

Затронутые пакеты:

typo3-src

Уязвим:

Да

Ссылки на базы данных по безопасности:

В каталоге Mitre CVE: CVE-2012-3527, CVE-2012-3528, CVE-2012-3529, CVE-2012-3530, CVE-2012-3531.

Более подробная информация:

В TYPO3, системе управления содержимым, было обнаружено несколько уязвимостей.

• CVE-2012-3527

  Небезопасный вызов десериализации в системе помощи позволяет аутентифицированным пользователям выполнять произвольный код.

• CVE-2012-3528

  Движок TYPO3 содержит несколько случаев межсайтового скриптинга.

• CVE-2012-3529

  Аутентифицированные пользователи, которые могут получить доступ к модулю настройки, могут получить ключ шифрования, что позволяет им повысить свои привилегии.

• CVE-2012-3530

  RemoveXSS, инструмент для очистки HTML, не удаляет некоторый код HTML5 JavaScript, что не позволяет снизить влияние межсайтового скриптинга.

В стабильном выпуске (squeeze) эти проблемы были исправлены в версии 4.3.9+dfsg1-1+squeeze5.

В тестируемом (wheezy) и нестабильном (sid) выпусках эти проблемы были исправлены в версии 4.5.19+dfsg1-1.

Рекомендуется обновить пакеты typo3-src.