int(4969)

Vulnerability Bulletins

Múltiples vulnerabilidades en TYPO3

Vulnerability classification
Property Value
Confidence level Oficial
Impact Aumento de la visibilidad
Dificulty Avanzado
Required attacker level Acceso remoto sin cuenta a un servicio estandar

System information
Property Value
Affected manufacturer GNU/Linux
Affected software TYPO3

Description
Se han descubierto múltiples Cross-Site Scripting e inyecciones SQL en TYPO3.

Un atacante remoto podría inyectar código script o HTML arbitrario mediante los parámetros de entrada.

Solution


Actualización de software

Debian (DSA-1926-1)

Debian Linux 4.0
Arquitectura independiente:
http://security.debian.org/pool/updates/main/t/typo3-src/typo3-src-4.0_4.0.2+debian-9_all.deb
http://security.debian.org/pool/updates/main/t/typo3-src/typo3_4.0.2+debian-9_all.deb
Source archives:
http://security.debian.org/pool/updates/main/t/typo3-src/typo3-src_4.0.2+debian-9.diff.gz
http://security.debian.org/pool/updates/main/t/typo3-src/typo3-src_4.0.2+debian.orig.tar.gz
http://security.debian.org/pool/updates/main/t/typo3-src/typo3-src_4.0.2+debian-9.dsc

Debian (DSA-1926-1)

Debian Linux 5.0
Source
http://security.debian.org/pool/updates/main/t/typo3-src/typo3-src_4.2.5.orig.tar.gz
http://security.debian.org/pool/updates/main/t/typo3-src/typo3-src_4.2.5-1+lenny2.diff.gz
http://security.debian.org/pool/updates/main/t/typo3-src/typo3-src_4.2.5-1+lenny2.dsc
Arquitectura independiente:
http://security.debian.org/pool/updates/main/t/typo3-src/typo3-src-4.2_4.2.5-1+lenny2_all.deb
http://security.debian.org/pool/updates/main/t/typo3-src/typo3_4.2.5-1+lenny2_all.deb

Standar resources
Property Value
CVE CVE-2009-3628
CVE-2009-3629
CVE-2009-3630
CVE-2009-3631
CVE-2009-3632
CVE-2009-3633
CVE-2009-3634
CVE-2009-3635
CVE-2009-3636
BID

Other resources
Debian Security Advisory (DSA-1926-1)
http://lists.debian.org/debian-security-announce/2009/msg00249.html

Version history
Version Comments Date
1.0 Aviso emitido 2009-11-19
Ministerio de Defensa
CNI
CCN
CCN-CERT