Vulnerability Bulletins |
Múltiples vulnerabilidades en TYPO3 |
|
Vulnerability classification |
|
Property | Value |
Confidence level | Oficial |
Impact | Aumento de la visibilidad |
Dificulty | Avanzado |
Required attacker level | Acceso remoto sin cuenta a un servicio estandar |
System information |
|
Property | Value |
Affected manufacturer | GNU/Linux |
Affected software | TYPO3 4.x < 4.2.4 |
Description |
|
Se han descubierto múltiples vulnerabilidades en TYPO3. Las vulnerabilidades son descritas a continuación: - CVE-2009-0255: La vulnerabilidad reside en un error en la generación de números aletorios para las claves de cifrado. De este modo, un atacante remoto podría crackear una clave de una manera más sencilla. - CVE-2009-0256: Un atacante remoto podría secuestrar sesiones web mediante métodos no especificados relacionados con la autenticación. - CVE-2009-0257: Se ha descubierto una vulnerabilidad de tipo Cross-Site Scripting. La vulnerabilidad reside en un error en la validación de entrada de datos del usuario en las extensiones del sistema de búsqueda indexada (indexed_search) y ADOdb y en el módulo Worspace. Un atacante podría inyectar código web script o HTML mediante el nombre o el contenido de ficheros indexados. - CVE-2009-0258: La vulnerabilidad reside en un error en el motor de búsqueda indexada. Un atacante remoto podría ejecutar comandos arbitrarios mediante métodos no especificados relacionados con el indexador de la línea de comandos. |
|
Solution |
|
Actualización de software Debian (DSA-1711-1) Debian Linux 4.0 Source http://security.debian.org/pool/updates/main/t/typo3-src/typo3-src_4.0.2+debian.orig.tar.gz http://security.debian.org/pool/updates/main/t/typo3-src/typo3-src_4.0.2+debian-7.diff.gz http://security.debian.org/pool/updates/main/t/typo3-src/typo3-src_4.0.2+debian-7.dsc Arquitectura independiente: http://security.debian.org/pool/updates/main/t/typo3-src/typo3_4.0.2+debian-7_all.deb http://security.debian.org/pool/updates/main/t/typo3-src/typo3-src-4.0_4.0.2+debian-7_all.deb |
|
Standar resources |
|
Property | Value |
CVE |
CVE-2009-0255 CVE-2009-0256 CVE-2009-0257 CVE-2009-0258 |
BID | 33376 |
Other resources |
|
Debian Security Advisory (DSA-1711-1) http://lists.debian.org/debian-security-announce/2009/msg00019.html |
Version history |
||
Version | Comments | Date |
1.0 | Aviso emitido | 2009-01-27 |