TYPO3 ウェブコンテンツ管理フレームワークに、リモートから攻撃可能な複 数の問題が発見されました。The Common Vulnerabilities and Exposures project は以下の問題を認識しています。
Backend サブコンポーネントが、リモートの認証済みのユーザからフォー ムフィールドに細工した値を使うことで、暗号鍵の推定を許します。
Backend サブコンポーネントにクロスサイトスクリプティング攻撃を許す 欠陥があり、リモートの攻撃者が任意のウェブスクリプトや HTML を挿入 可能です。
Backend サブコンポーネントが、リモートの認証済みのユーザから細工し たパラメータを使って TYPO3 バックエンドフレームワークに任意のウェブ サイトの配置を許します
Backend サブコンポーネントが、DAM 機能拡張または ftp アップロードを 有効にしている場合、リモートの認証済みのユーザからファイル名にメタ キャラクタを含めることで任意のコードの実行を許します。
Frontend Editing サブコンポーネントの従来モードのフロントエンド編集 機能に SQL インジェクション脆弱性があり、リモートの認証済みのユーザ からの任意の SQL コマンドの実行を許します。
クロスサイトスクリプティング攻撃を許す欠陥があり、リモートの攻撃者 が任意のウェブスクリプトや HTML を挿入可能です。
Frontend Login Box (aka felogin) サブコンポーネントにクロスサイトス クリプティング攻撃を許す欠陥があり、リモートの攻撃者が任意のウェブ スクリプトや HTML を挿入可能です。
Install Tool サブコンポーネントにリモートの攻撃者がパスワードの md5 ハッシュ値のみを身分証明としてアクセスをゆるす欠陥が発見されました。
Install Tool サブコンポーネントにクロスサイトスクリプティング攻撃を 許す欠陥があり、リモートの攻撃者が任意のウェブスクリプトや HTML を 挿入可能です。
旧安定版 (oldstable) ディストリビューション (etch) では、これらの問題は バージョン 4.0.2+debian-9 で修正されています。
安定版 (stable) ディストリビューション (lenny) では、これらの問題はバー ジョン 4.2.5-1+lenny2 で修正されています。
不安定版 (unstable) ディストリビューション (sid) では、これらの問題はバ ージョン 4.2.10-1 で修正されています。
直ぐに typo3-src パッケージをアップグレードすることを勧めます。
一覧にあるファイルの MD5 チェックサムは勧告の原文にあります。