Miembros de
Boletines de Vulnerabilidades |
Múltiples vulnerabilidades en TYPO3 |
|
Clasificación de la vulnerabilidad |
|
| Propiedad | Valor |
| Nivel de Confianza | Oficial |
| Impacto | Aumento de la visibilidad |
| Dificultad | Avanzado |
| Requerimientos del atacante | Acceso remoto sin cuenta a un servicio estandar |
Información sobre el sistema |
|
| Propiedad | Valor |
| Fabricante afectado | GNU/Linux |
| Software afectado | TYPO3 4.x < 4.2.4 |
Descripción |
|
|
Se han descubierto múltiples vulnerabilidades en TYPO3. Las vulnerabilidades son descritas a continuación: - CVE-2009-0255: La vulnerabilidad reside en un error en la generación de números aletorios para las claves de cifrado. De este modo, un atacante remoto podría crackear una clave de una manera más sencilla. - CVE-2009-0256: Un atacante remoto podría secuestrar sesiones web mediante métodos no especificados relacionados con la autenticación. - CVE-2009-0257: Se ha descubierto una vulnerabilidad de tipo Cross-Site Scripting. La vulnerabilidad reside en un error en la validación de entrada de datos del usuario en las extensiones del sistema de búsqueda indexada (indexed_search) y ADOdb y en el módulo Worspace. Un atacante podría inyectar código web script o HTML mediante el nombre o el contenido de ficheros indexados. - CVE-2009-0258: La vulnerabilidad reside en un error en el motor de búsqueda indexada. Un atacante remoto podría ejecutar comandos arbitrarios mediante métodos no especificados relacionados con el indexador de la línea de comandos. |
|
Solución |
|
|
Actualización de software Debian (DSA-1711-1) Debian Linux 4.0 Source http://security.debian.org/pool/updates/main/t/typo3-src/typo3-src_4.0.2+debian.orig.tar.gz http://security.debian.org/pool/updates/main/t/typo3-src/typo3-src_4.0.2+debian-7.diff.gz http://security.debian.org/pool/updates/main/t/typo3-src/typo3-src_4.0.2+debian-7.dsc Arquitectura independiente: http://security.debian.org/pool/updates/main/t/typo3-src/typo3_4.0.2+debian-7_all.deb http://security.debian.org/pool/updates/main/t/typo3-src/typo3-src-4.0_4.0.2+debian-7_all.deb |
|
Identificadores estándar |
|
| Propiedad | Valor |
| CVE |
CVE-2009-0255 CVE-2009-0256 CVE-2009-0257 CVE-2009-0258 |
| BID | 33376 |
Recursos adicionales |
|
|
Debian Security Advisory (DSA-1711-1) http://lists.debian.org/debian-security-announce/2009/msg00019.html |
|
Histórico de versiones |
||
| Versión | Comentario | Fecha |
| 1.0 | Aviso emitido | 2009-01-27 |