Debian-Sicherheitsankündigung

DSA-1596-1 typo3 -- Mehrere Verwundbarkeiten

Datum des Berichts:

12. Jun 2008

Betroffene Pakete:

typo3

Verwundbar:

Sicherheitsdatenbanken-Referenzen:

In der Debian-Fehlerdatenbank: Fehler 485814.
In Mitres CVE-Verzeichnis: CVE-2008-2717, CVE-2008-2718.

Weitere Informationen:

Mehrere entfernt ausnutzbare Verwundbarkeiten wurden im TYPO3-Content-Management-Framework entdeckt.

Wegen eines nicht ausreichend sicheren Standardwertes der Konfigurationsvariablen fileDenyPattern in TYPO3, konnten authentifizierte Backend-Benutzer Dateien hochladen, was die Ausführung beliebigen Codes unter dem Webserver-Benutzer ermöglicht.

Durch fe_adminlib.inc verarbeitete Benutzereingaben werden nicht korrekt gefiltert, um Site-übergreifende Skripting-Angriffe zu vermeiden. Dies tritt auf, wenn spezielle Plugins verwendet werden.

Für die Stable-Distribution (Etch) wurden diese Probleme in Version 4.0.2+debian-5 behoben.

Für die Unstable-Distribution (Sid) wurden diese Probleme in Version 4.1.7-1 behoben.

Wir empfehlen Ihnen, Ihr typo3-Paket zu aktualisieren.

Behoben in:

Debian GNU/Linux 4.0 (etch)

Quellcode:: http://security.debian.org/pool/updates/main/t/typo3-src/typo3-src_4.0.2+debian-5.dsc; http://security.debian.org/pool/updates/main/t/typo3-src/typo3-src_4.0.2+debian.orig.tar.gz; http://security.debian.org/pool/updates/main/t/typo3-src/typo3-src_4.0.2+debian-5.diff.gz
Architektur-unabhängige Dateien:: http://security.debian.org/pool/updates/main/t/typo3-src/typo3_4.0.2+debian-5_all.deb; http://security.debian.org/pool/updates/main/t/typo3-src/typo3-src-4.0_4.0.2+debian-5_all.deb

MD5-Prüfsummen der aufgeführten Dateien stehen in der ursprünglichen Sicherheitsankündigung zur Verfügung.