PHP ベースのコンテンツ管理システムである TYPO3 が、複数の脆弱性に対して脆弱であることが判明しました。

- CVE-2013-1842 Helmut Hummel 氏と Markus Opahle 氏は、Extbase データベースレイヤーが、Query オブジェクトモデルを使用する際に、ユーザー入力を適切にサニタイズしないことを発見しました。このため、悪意のあるユーザーが細工された関係値を入力することで、SQL インジェクションが発生する可能性があります。

- CVE-2013-1843 アクセス追跡メカニズムにユーザー入力検証がないために、任意の URL リダイレクトが発生する可能性があります。

注：この修正により、既に公開されたリンクが破棄されます。Upstream アドバイザリ TYPO3-CORE-SA-2013-001 には、緩和方法の詳細が記載されています。

Typo3 CMS バージョンは更新され、セキュリティとバグの修正を受けました。

- バージョン 4.5.25 に更新しました

- バグ修正：jumpurl セキュリティ修正による外部 URL 回帰（Helmut Hummel 氏）、t3#46071

- バージョン 4.5.24 に更新しました

- サブモジュールポインターを更新してください（TYPO3 リリースチーム）

- セキュリティ：jumpurl でリダイレクトを開いてください（Franz G. Jahn 氏）、t3#28587、bnc#808528、CVE-2013-1843

- バグ修正：TCAtree について minitems をチェックします（Georg Ringer 氏）、t3#25003

- バグ修正：カスタム HTML5 属性のハイフンを維持します（Jigal van Hemert 氏）、t3#34371

- 「[バグ修正] FE セッションレコードが削除されることはありません」を戻します（Oliver Hader 氏）、t3#45570

- セキュリティ修正：Typo3 Extbase フレームワーク SQL インジェクション、bnc#808528、CVE-2013-1842

- バージョン 4.5.23 に更新しました

- サブモジュールポインターを更新してください

- バグ修正：t3lib_iconWorks は、これを使用する前に配列が存在するかどうかをチェックする必要があります、t3#24248

- バグ修正：adminOnly モード時の BE ユーザーの切り替え不能、t3#32686

- バグ修正：Excludefieds は、admin のみのテーブルを除外する必要があります、t3#34460

- バグ修正：TypoLink：サブフォルダーにインストールされたときの絶対 URL、t3#33214

- サブモジュールポインターを更新してください

- バグ修正：[Cache][PDO] キャッシュエントリの重複が可能です、t3#34129

- バグ修正：IE9 の互換性の明確なキャッシュメニュー、t3#36364

- バグ修正：ContentContentObject で modifyDBRow をフックコールしてください、t3#44416

- バグ修正：RTE メタメニューのスペルミスを修正します、t3#43886

- バグ修正：操作の前に TCA をロードしてください、t3#38505

- DataHandler::getAutoVersionId() はパブリックにする必要があります、t3#45050

- バグ修正：スケジューラモジュールに日時ピッカーをロードします、t3#31027

- バグ修正：Quick Edit がキー uid 欠落の警告を発生させます、t3#42845

- サブモジュールポインターを更新してください

- バグ修正：タブメインテナンスの em で警告を修正してください、t3#39680

- バグ修正：レンダリングのアップロードのための適切な TCA を含めてください、t3#44145

- バグ修正：変更されたエラー報告のデフォルトの説明を更新してください、t3#38240

- バグ修正：stdWrap_crop の説明の誤植を修正してください、t3#43919

- バグ修正：Apc キャッシュバックエンドにはサイドエフェクトがあります、t3#38135

- バグ修正：t3lib_TCEmain::processRemapStack() の無効な呼び出し、t3#44301

- サブモジュールポインターを更新してください

- バグ修正：提案するウィザードは、フォーム入力の背後にあります、t3#42092

- バグ修正：phpdoc：$urlParameters は文字列の可能性があります、t3#44263

- バグ修正：FE セッションレコードが削除されることはありません、t3#34964

- バグ修正：INTincScript_loadJSCode() が PHP 警告を引き起こします、t3#32278

- バグ修正：iOS および Android では、WebKit のバージョン 534 で RTE を有効にしてください、t3#43603

- バグ修正：sysext「install」から RuntimeException で HTML を削除してください、t3#38472

- バグ修正：フィールド colpos で Web > リストの誤った列タイトルを修正してください、t3#25113

- バグ修正：SqlParser：すべての種類の空白を調節します、t3#43470

- typo3.pageModule.js を削除してください、t3#43459

- バグ修正：インストーラー：参照イメージが間違っています、t3#42292

- バグ修正：ページの情報は、不正確な総ヒット数を示しています、t3#41608

- バグ修正：Install Tool がロックされているページの古いロゴ、t3#42908

- openid：php-openid を 2.2.2 に更新します、t3#42236

- テーブルごとに excludefields をグループ化します、t3#34098

- バグ修正：ワークスペースが使用されている場合は、バージョンセレクターを非表示にしてください、t3#43264

- サブモジュールポインターを更新してください

- 4.6.18 にバージョンを更新しました

- バグ修正：jumpurl セキュリティ修正による外部 URL 回帰（Helmut Hummel 氏）、t3#46071

- 4.6.17 にバージョンを更新しました

- サブモジュールポインターを更新してください（TYPO3 リリースチーム）

- セキュリティ：jumpurl でリダイレクトを開いてください（Franz G. Jahn 氏）、t3#28587、bnc#808528、CVE-2013-1843

- セキュリティ修正：Typo3 Extbase フレームワーク SQL インジェクション、bnc#808528、CVE-2013-1842

- 4.6.16 にバージョンを更新しました

- バグ修正：L10n のフォールバックが TS ラベルで機能しません、t3#44099

- バグ修正：L10n のフォールバックが BE の ExtJS で機能しません、t3#44273

- サブモジュールポインターを更新してください

- バグ修正：言語キーとして「en」を許可します、t3#42084

- サブモジュールポインターを更新してください

- バグ修正：[Cache][PDO] キャッシュエントリの重複が可能です、t3#34129

- バグ修正：IE9 の互換性の明確なキャッシュメニュー、t3#36364

- バグ修正：ContentContentObject で modifyDBRow をフックコールしてください、t3#44416

- バグ修正：RTE メタメニューのスペルミスを修正します、t3#43886

- バグ修正：操作の前に TCA をロードしてください、t3#38505

- バグ修正：FORM ビューに空のフォーム値に対するチェックを追加します、t3#28606

- DataHandler::getAutoVersionId() はパブリックにする必要があります、t3#45050

- バグ修正：Quick Edit がキー uid 欠落の警告を発生させます、t3#42845

- サブモジュールポインターを更新してください

- バグ修正：タブメインテナンスの em で警告を修正してください、t3#39680

- バグ修正：レンダリングのアップロードのための適切な TCA を含めてください、t3#44145

- バグ修正：変更されたエラー報告のデフォルトの説明を更新してください、t3#38240

- バグ修正：stdWrap_crop の説明の誤植を修正してください、t3#43919

- バグ修正：Apc キャッシュバックエンドにはサイドエフェクトがあります、t3#38135

- バグ修正：t3lib_TCEmain::processRemapStack() の無効な呼び出し、t3#44301

- サブモジュールポインターを更新してください

- バグ修正：提案するウィザードは、フォーム入力の背後にあります、t3#42092

- バグ修正：phpdoc：$urlParameters は文字列の可能性があります、t3#44263

- バグ修正：FE セッションレコードが削除されることはありません、t3#34964

- バグ修正：INTincScript_loadJSCode() が PHP 警告を引き起こします、t3#32278

- バグ修正：Install Tool の壊れたロゴファイルを修正してください、t3#43426

- バグ修正：sysext「install」から RuntimeException で HTML を削除してください、t3#38472

- バグ修正：フィールド colpos で Web > リストの誤った列タイトルを修正してください、t3#25113

- バグ修正：SqlParser：すべての種類の空白を調節します、t3#43470

- typo3.pageModule.js を削除してください、t3#43459

- バグ修正：インストーラー：参照イメージが間違っています、t3#42292

- バグ修正：ページの情報は、不正確な総ヒット数を示しています、t3#41608

- バグ修正：Install Tool がロックされているページの古いロゴ、t3#42908

- バグ修正：改行されているフォーム値は、メールでエスケープされています、t3#32515

- openid：php-openid を 2.2.2 に更新します、t3#42236

- バグ修正：HTML 要素のウィザードは t3editor に移動しました、t3#33813

- バグ修正：Livesearch ツールバーは他を閉じる必要があります、t3#32890

- バグ修正：ワークスペースが使用されている場合は、バージョンセレクターを非表示にしてください、t3#43264

- バグ修正：FormWizard のサブジェクトフィールド、t3#35787

- サブモジュールポインターを更新してください

- バグ修正：Backend 検索における整数の検索の無効な動作、t3#33700

- 流動、バグ修正：ユニットテストが破損したタイムゾーンで失敗します、t3#45285

- 流動、バグ修正：構成された Timezones を使用しない Date ViewHelper、t3#12769

- 流動、バグ修正：システム設定の誤字を修正し、バックアップを改善します、t3#45218

- 流動、バグ修正：setlocale 呼び出しによって引き起こされる PHP Error を削除します、t3#45118

- 流動、バグ修正：ユニットテストの不完全なロケールバックアップ、t3#44835

- 流動、バグ修正：selectViewHelper のソートはロケールを尊重する必要があります、t3#43445

- 流動、バグ修正：Image viewhelper は、バックエンドコンテキストで $GLOBALS['TSFE'] を消去します、t3#43446

- 流動、バグ修正：AbstractFormFieldViewHelper は、常にエンティティを変換します、t3#34091

- linkvalidator、バグ修正：getLinkCounts の SQL エラー、t3#43322

- バージョン、バグ修正：スワップボタン使用時の捕捉可能な致命的なエラー、t3#42948

- バージョン 4.7.10 に更新しました

- バグ修正：jumpurl セキュリティ修正による外部 URL 回帰（Helmut Hummel 氏）、t3#46071

- 重複したファイルの警告を抑制するために rpmlintrc を追加しました。

- バージョン 4.7.9 に更新しました

- サブモジュールポインターを更新してください（TYPO3 リリースチーム）

- セキュリティ：jumpurl でリダイレクトを開いてください（Franz G. Jahn 氏）、t3#28587、bnc#808528、CVE-2013-1843

- バグ修正：フォームを 2 回送信したときの無効な RSA キー（Benjamin Mack 氏）、t3#40085

- セキュリティ修正：Typo3 Extbase フレームワーク SQL インジェクション、bnc#808528、CVE-2013-1842

- バージョン 4.7.8 に更新しました

- バグ修正：L10n のフォールバックが TS ラベルで機能しません、t3#44099

- バグ修正：L10n のフォールバックが BE の ExtJS で機能しません、t3#44273

- サブモジュールポインターを更新してください

- バグ修正 言語キーとして「en」を許可します、t3#42084

- サブモジュールポインターを更新してください

- バグ修正：[Cache][PDO] キャッシュエントリの重複が可能です、t3#34129

- バグ修正：IE9 の互換性の明確なキャッシュメニュー、t3#36364

- バグ修正：ContentContentObject で modifyDBRow をフックコールしてください、t3#44416

- バグ修正：RTE メタメニューのスペルミスを修正します、t3#43886

- バグ修正：操作の前に TCA をロードしてください、t3#38505

- バグ修正：FORM ビューに空のフォーム値に対するチェックを追加します、t3#28606

- DataHandler::getAutoVersionId() はパブリックにする必要があります、t3#45050

- バグ修正：モジュールに関する潜在的な警告、t3#44892

- バグ修正：Quick Edit がキー uid 欠落の警告を発生させます、t3#42845

- サブモジュールポインターを更新してください

- バグ修正：タブメインテナンスの em で警告を修正してください、t3#39680

- バグ修正：EXT:felogin：preserveGETvars の複数のバグ、t3#19938

- バグ修正：レンダリングのアップロードのための適切な TCA を含めてください、t3#44145

- バグ修正：array_merge_recursive_overrule：配列値に対する __UNSET、t3#43874

- バグ修正：変更されたエラー報告のデフォルトの説明を更新してください、t3#38240

- バグ修正：stdWrap_crop の説明の誤植を修正してください、t3#43919

- Scheduler タスクに「保存のみ」ボタンを追加します、t3#44152

- バグ修正：Apc キャッシュバックエンドにはサイドエフェクトがあります、t3#38135

- バグ修正：t3lib_TCEmain::processRemapStack() の無効な呼び出し、t3#44301

- サブモジュールポインターを更新してください

- 提案するウィザードは、フォーム入力の背後にあります、t3#42092

- バグ修正：phpdoc：$urlParameters は文字列の可能性があります、t3#44263

- バグ修正：FE セッションレコードが削除されることはありません、t3#34964

- バグ修正：INTincScript_loadJSCode() が PHP 警告を引き起こします、t3#32278

- バグ修正：Install Tool の壊れたロゴファイルを修正してください、t3#43426

- バグ修正：iOS および Android では、WebKit のバージョン 534 で RTE を有効にしてください、t3#43603

- バグ修正：IE9 が RTE で保存した後にクラッシュします、t3#43766

- バグ修正：sysext「install」から RuntimeException で HTML を削除してください、t3#38472

- バグ修正：get_html_translation_table() の互換性の修正、t3#39287

- バグ修正：フィールド colpos で Web > リストの誤った列タイトルを修正してください、t3#25113

- バグ修正：SqlParser：すべての種類の空白を調節します、t3#43470

- typo3.pageModule.js を削除してください、t3#43459

- バグ修正：インストーラー：参照イメージが間違っています、t3#42292

- バグ修正：ページの情報は、不正確な総ヒット数を示しています、t3#41608

- バグ修正：Install Tool がロックされているページの古いロゴ、t3#42908

- バグ修正：改行されているフォーム値は、メールでエスケープされています、t3#32515

- openid：php-openid を 2.2.2 に更新します、t3#42236

- バグ修正：ワークスペースが使用されている場合は、バージョンセレクターを非表示にしてください。
 t3#43264

- バグ修正：FormWizard のサブジェクトフィールド、t3#35787

- サブモジュールポインターを更新してください

- Backend 検索における整数の検索の無効な動作、t3#33700

ID	名前	製品	ファミリー	公開日	更新日	深刻度
65584	Debian DSA-2646-1 : typo3-src - 複数の脆弱性	Nessus	Debian Local Security Checks	2013/3/17	2021/1/11	high
74935	openSUSE セキュリティ更新：typo3-cms-4_5/typo3-cms-4_6/typo3-cms-4_7（openSUSE-SU-2013:0510-1）	Nessus	SuSE Local Security Checks	2014/6/13	2021/1/19	high

検出

プラグインの検索

high

high