Säkerhetsinformation / 2013 / Säkerhetsinformation -- DSA-2646-1 typo3-src

Säkerhetsbulletin från Debian

DSA-2646-1 typo3-src -- flera sårbarheter

Rapporterat den:

2013-03-15

Berörda paket:

typo3-src

Sårbara:

Ja

Referenser i säkerhetsdatabaser:

I Debians felrapporteringssystem: Fel 702574.
I Mitres CVE-förteckning: CVE-2013-1842, CVE-2013-1843.

Ytterligare information:

Flera sårbarheter har upptäckts i TYPO3, ett PHP-baserat innehållshanteringssystem.

• CVE-2013-1842

  Helmut Hummel och Markus Opahle upptäckte att databaslagret Extbase inte städar användarindata vid användning av objektmodellen Query. Detta kan leda till SQL-injicering av en illsasinnad användare som matar in utformade relationsvärden.

• CVE-2013-1843

  Bristfällig validering av användarindata i åtkomstspårningsmekanismen kunde resultera i opålitlig omdirigering av URLer.

  Observera: denna rättelse kommer att förstöra redan publicerade länkar. Uppströmsbulletinen TYPO3-CORE-SA-2013-001 har mer information om hur du mildrar detta.

För den stabila utgåvan (Squeeze) har dessa problem rättats i version 4.3.9+dfsg1-1+squeeze8.

För uttestningsutgåvan (Wheezy) har dessa problem rättats i version 4.5.19+dfsg1-5.

För den instabila utgåvan (Sid) har dessa problem rättats i version 4.5.19+dfsg1-5.

Vi rekommenderar att ni uppgraderar era typo3-src-paket.