Säkerhetsbulletin från Debian
DSA-2537-1 typo3-src -- flera sårbarheter
- Rapporterat den:
- 2012-08-30
- Berörda paket:
- typo3-src
- Sårbara:
- Ja
- Referenser i säkerhetsdatabaser:
- I Mitres CVE-förteckning: CVE-2012-3527, CVE-2012-3528, CVE-2012-3529, CVE-2012-3530, CVE-2012-3531.
- Ytterligare information:
-
Flera sårbarheter har upptäckts i TYPO3, ett innehållshanteringssystem.
- CVE-2012-3527
Ett osäkert anrop till unserialize i hjälpsystemet möjliggör exekvering av godtycklig kod av autentiserade användare.
- CVE-2012-3528
TYPO3-bakänden innehåller flera domänöverskridande skriptsårbarheter.
- CVE-2012-3529
Autentiserade användare som har åtkomst till konfigurationsmodulen kan få åtkomst till krypteringsnyckeln, vilket tillåter dem att eskalera sina rättigheter.
- CVE-2012-3530
HTML-rengöraren RemoveXSS tog inte bort flera HTML5 JavaScript, och misslyckades därmed att lindra åverkan av domänöverskridande skriptsårbarheter.
För den stabila utgåvan (Squeeze) har dessa problem rättats i version 4.3.9+dfsg1-1+squeeze5.
För uttestningsutgåvan (Wheezy) and the instabila utgåvan (Sid) har dessa problem rättats i version 4.5.19+dfsg1-1.
Vi rekommenderar att ni uppgraderar era typo3-src-paket.
- CVE-2012-3527