• Все разделы
  • Статьи
  • Медиа
  • Новости
  • Нормативные материалы
  • Конференции
  • Глоссарий

DSA-2646-1 typo3-src -- несколько уязвимостей

Главная Специалистам База уязвимостей DSA-2646-1 typo3-src -- несколько уязвимостей

Карточка уязвимости

Характеристики уязвимости

Уровень опасности
Оценка CVSS
(AV:N/AC:L/Au:N/C:P/I:P/A:P)
Производитель ПО
Наименование ПО
typo3 (any) typo3-database (any) typo3-src-4.3 (any)
Описание
Обнаружено, что TYPO3, система управления содержимым на основе PHP, имеет несколько уязвимостей.

CVE-2013-1842
Гельмут Гуммель и Маркус Опале обнаружили, что прослойка баз данных Extbase
    неправильно очищает пользовательский ввод при использовании объектной модели Query.
    Это может приводить к SQL-инъекции в случае, если пользователь введёт специально сформированные
    реляционные значения.
CVE-2013-1843
Отсутствие проверки пользовательского ввода в случаях доступа к механизму отслеживания может приводить
    к перенаправлению на произвольный URL.

    Внимание: применение данного исправления приведёт к поломке опубликованных ссылок. В совете из основной ветки разработки
    TYPO3-CORE-SA-2013-001
    содержится дополнительная информация о том, как с этим справиться.

В стабильном выпуске (squeeze) эти проблемы были исправлены в
версии 4.3.9+dfsg1-1+squeeze8.
В тестируемом выпуске (wheezy) эти проблемы были исправлены в
версии 4.5.19+dfsg1-5.
В нестабильном выпуске (sid) эти проблемы были исправлены в
версии 4.5.19+dfsg1-5.
Рекомендуется обновить пакеты typo3-src.
Как исправить
Проблема может быть решена обновлением операционной системы до следующих версий пакетов в зависимости от архитектуры:
Debian GNU/Linux 6:
noarch:
typo3-src - 4.3.9+dfsg1-1+squeeze8
Ссылки
http://www.debian.org/security/dsa-2646/

Источник: CVE
Наименование: CVE-2013-1842
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-1842

Источник: CVE
Наименование: CVE-2013-1843
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-1843