Debian DSA-1926-1 : typo3-src - 複数の脆弱性

high Nessus プラグイン ID 44791

Language:

概要

リモート Debian ホストに、セキュリティ更新がありません。

説明

TYPO3 Web コンテンツ管理フレームワークに、いくつかのリモートの脆弱性が発見されました。Common Vulnerabilities and Exposures プロジェクトは次の問題を特定しています：

- CVE-2009-3628 バックエンドサブコンポーネントにより、リモートの認証されたユーザーが、フォームフィールドへの細工された入力を介して、暗号化キーを判別する可能性があります。

- CVE-2009-3629 バックエンドサブコンポーネントに存在する複数のクロスサイトスクリプティング（XSS）脆弱性により、リモートの認証されたユーザーが、任意の Web スクリプトまたは HTML を注入する可能性があります。

- CVE-2009-3630 バックエンドサブコンポーネントにより、リモートの認証されたユーザーが、細工されたパラメーターを使用して、TYPO3 バックエンドフレームセットに任意の Web サイトを設置する可能性があります。

- CVE-2009-3631 DAM 拡張または ftp アップロードが有効になっている場合、バックエンドサブコンポーネントにより、リモートの認証されたユーザーが、ファイル名に存在するシェルのメタ文字を使用して、任意のコマンドを実行する可能性があります。

- CVE-2009-3632 Frontend Editing サブコンポーネントの従来型フロントエンド編集機能にある SQL インジェクションの脆弱性により、リモートの認証されたユーザーが、任意の SQL コマンドを実行する可能性があります。

- CVE-2009-3633 クロスサイトスクリプティング（XSS）の脆弱性により、リモートの攻撃者が任意の Web スクリプトを注入する可能性があります。

- CVE-2009-3634 Frontend Login Box（別名 felogin）サブコンポーネントのクロスサイトスクリプティング（XSS）脆弱性により、リモートの攻撃者が任意の Web スクリプトまたは HTML を注入する可能性があります。

- CVE-2009-3635 Install Tool サブコンポーネントにより、リモートの攻撃者が、パスワードの md5 ハッシュのみを認証情報として使用することで、アクセス権を取得する可能性があります。

- CVE-2009-3636 Install Tool サブコンポーネントのクロスサイトスクリプティング（XSS）脆弱性により、リモートの攻撃者が、任意の Web スクリプトまたは HTML を注入する可能性があります。

ソリューション

typo3-src パッケージをアップグレードしてください。

旧安定版（oldstable）ディストリビューション（etch）では、これらの問題はバージョン 4.0.2+debian-9 で修正されています。

安定版（stable）ディストリビューション（lenny）では、これらの問題はバージョン 4.2.5-1+lenny2 で修正されています。