Säkerhetsinformation / 2012 / Säkerhetsinformation -- DSA-2537-1 typo3-src

Säkerhetsbulletin från Debian

DSA-2537-1 typo3-src -- flera sårbarheter

Rapporterat den:

2012-08-30

Berörda paket:

typo3-src

Sårbara:

Ja

Referenser i säkerhetsdatabaser:

I Mitres CVE-förteckning: CVE-2012-3527, CVE-2012-3528, CVE-2012-3529, CVE-2012-3530, CVE-2012-3531.

Ytterligare information:

Flera sårbarheter har upptäckts i TYPO3, ett innehållshanteringssystem.

• CVE-2012-3527

  Ett osäkert anrop till unserialize i hjälpsystemet möjliggör exekvering av godtycklig kod av autentiserade användare.

• CVE-2012-3528

  TYPO3-bakänden innehåller flera domänöverskridande skriptsårbarheter.

• CVE-2012-3529

  Autentiserade användare som har åtkomst till konfigurationsmodulen kan få åtkomst till krypteringsnyckeln, vilket tillåter dem att eskalera sina rättigheter.

• CVE-2012-3530

  HTML-rengöraren RemoveXSS tog inte bort flera HTML5 JavaScript, och misslyckades därmed att lindra åverkan av domänöverskridande skriptsårbarheter.

För den stabila utgåvan (Squeeze) har dessa problem rättats i version 4.3.9+dfsg1-1+squeeze5.

För uttestningsutgåvan (Wheezy) and the instabila utgåvan (Sid) har dessa problem rättats i version 4.5.19+dfsg1-1.

Vi rekommenderar att ni uppgraderar era typo3-src-paket.