Säkerhetsbulletin från Debian

DSA-2537-1 typo3-src -- flera sårbarheter

Rapporterat den:
2012-08-30
Berörda paket:
typo3-src
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Mitres CVE-förteckning: CVE-2012-3527, CVE-2012-3528, CVE-2012-3529, CVE-2012-3530, CVE-2012-3531.
Ytterligare information:

Flera sårbarheter har upptäckts i TYPO3, ett innehållshanteringssystem.

  • CVE-2012-3527

    Ett osäkert anrop till unserialize i hjälpsystemet möjliggör exekvering av godtycklig kod av autentiserade användare.

  • CVE-2012-3528

    TYPO3-bakänden innehåller flera domänöverskridande skriptsårbarheter.

  • CVE-2012-3529

    Autentiserade användare som har åtkomst till konfigurationsmodulen kan få åtkomst till krypteringsnyckeln, vilket tillåter dem att eskalera sina rättigheter.

  • CVE-2012-3530

    HTML-rengöraren RemoveXSS tog inte bort flera HTML5 JavaScript, och misslyckades därmed att lindra åverkan av domänöverskridande skriptsårbarheter.

För den stabila utgåvan (Squeeze) har dessa problem rättats i version 4.3.9+dfsg1-1+squeeze5.

För uttestningsutgåvan (Wheezy) and the instabila utgåvan (Sid) har dessa problem rättats i version 4.5.19+dfsg1-1.

Vi rekommenderar att ni uppgraderar era typo3-src-paket.