[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[debian-users:51915] [Translate] [SECURITY] [DSA 1720-1] New TYPO3 packages fix several vulnerabilities

From: Seiji Kaneko <skaneko@xxxxxxxxxxxx>
Subject: [debian-users:51915] [Translate] [SECURITY] [DSA 1720-1] New TYPO3 packages fix several vulnerabilities
Date: Wed, 11 Feb 2009 23:46:47 +0900
List-help: <mailto:debian-users-ctl@debian.or.jp?body=help>
List-id: debian-users.debian.or.jp
List-owner: <mailto:debian-users-admin@debian.or.jp>
List-post: <mailto:debian-users@debian.or.jp>
List-software: fml [fml 4.0.3 release (20011202/4.0.3)]
List-unsubscribe: <mailto:debian-users-ctl@debian.or.jp?body=unsubscribe>
X-ml-info: If you have a question, send e-mail with the body "help" (without quotes) to the address debian-users-ctl@debian.or.jp; help=<mailto:debian-users-ctl@debian.or.jp?body=help>
X-ml-name: debian-users
X-mlserver: fml [fml 4.0.3 release (20011202/4.0.3)]; post only (only members can post)
X-spam-checker-version: SpamAssassin 3.1.7-deb3 (2006-10-05) on osdn.debian.or.jp
X-spam-level:
X-spam-status: No, score=-2.4 required=10.0 tests=KI autolearn=disabled version=3.1.7-deb3
Message-id: <4992E4B1.3090109@xxxxxxxxxxxx>
X-mail-count: 51915
User-agent: Thunderbird 2.0.0.19 (Macintosh/20081209)

かねこです。
URL 等は Debian-security-announce メーリングリストの元記事を確認
ください。

------>8------------>8------------>8------------>8------------>8-
- --------------------------------------------------------------------------
Debian Security Advisory DSA 1720-1                    security@debian.org
http://www.debian.org/security/                             Martin Schulze
February 10th, 2009                     http://www.debian.org/security/faq
- --------------------------------------------------------------------------

Package        : typo3-src
Vulnerability  : 複数
Problem type   : リモート
Debian-specific: いいえ
Debian Bug     : 514713

TYPO3 ウェブコンテンツ管理フレームワークに複数のリモートから攻撃可能な
欠陥が発見されました。

TYPO3 セキュリティチームの Marcus Krause さんと Michael Stucki さんに
より、jumpUrl 機構が秘密ハッシュ値を漏洩するため、リモートの攻撃者が URL
パラメータに正規の値を設定してアクセス制御を回避可能で、任意のファイル
の読み込みが可能であることが発見されました。

Jelmer de Hen さんと Dmitry Dulepov さんにより、バックエンドユーザインタ
ーフェースに複数のクロスサイトスクリプティング欠陥があり、リモートの攻撃
者が任意のウェブスクリプトや HTML を挿入可能であることが発見されました。

また、暗号鍵が漏洩した可能性が高いため、更新実行後インストールツールを用
いて暗号鍵を変更することを強く推奨します。

安定版 (stable) ディストリビューション (etch) では、これらの問題はバージ
ョン 4.0.2+debian-8 で修正されています。

テスト版ディストリビューション (lenny)では、これらの問
題はバージョン 4.2.5-1+lenny1 で修正されています。

不安定版 (unstable) ディストリビューション (sid) では、これらの問題はバー
ジョン 4.2.6-1 で修正されています。

直ぐに typo3 パッケージをアップグレードすることを勧めます。



アップグレード手順
------------------

wget url
        	でファイルを取得できます。
dpkg -i file.deb
                で参照されたファイルをインストールできます。

apt-get パッケージマネージャを用いている場合には、本メールのフッタ記載の
行を sources.list に加えて、

apt-get update
        を実行して内部データベースを更新し、
apt-get upgrade
        によって修正されたパッケージをインストールしてください。

本メールのフッタ記載の設定を自ホストの設定に加えることにより、自動更新を
行うこともできます。


Debian GNU/Linux 4.0 alias etch
- -------------------------------

  ソースアーカイブ:

    http://security.debian.org/pool/updates/main/t/typo3-src/typo3-src_4.0.2+debian-8.dsc
      Size/MD5 checksum:      618 8a7ebb8edf133224fc8c552c12b6cb3d

http://security.debian.org/pool/updates/main/t/typo3-src/typo3-src_4.0.2+debian-8.diff.gz
      Size/MD5 checksum:    24943 588b00a669ba0db62551749d9379a0ce

http://security.debian.org/pool/updates/main/t/typo3-src/typo3-src_4.0.2+debian.orig.tar.gz
      Size/MD5 checksum:  7683527 be509391b0e4d24278c14100c09dc673

  アーキテクチャに依存しない内容:


http://security.debian.org/pool/updates/main/t/typo3-src/typo3-src-4.0_4.0.2+debian-8_all.deb
      Size/MD5 checksum:  7677310 456187cb35360f2f9b35ab54fb8d6db5
    http://security.debian.org/pool/updates/main/t/typo3-src/typo3_4.0.2+debian-8_all.deb
      Size/MD5 checksum:    77252 87ceec7498d3df3436dc0a663088d2b6


  これらのファイルは次の版の安定版リリース時そちらに移されます。


- ---------------------------------------------------------------------------------
For apt-get: deb http://security.debian.org/ stable/updates main
For dpkg-ftp: ftp://security.debian.org/debian-security dists/stable/updates/main
Mailing list: debian-security-announce@lists.debian.org
Package info: `apt-cache show <pkg>' and http://packages.debian.org/<pkg>
------>8------------>8------------>8------------>8------------>8-
-- 
Seiji Kaneko                         skaneko@xxxxxxxxxxxx
---------------------------------------------------------

Prev by Date: [debian-users:51914] [Translate] [SECURITY] [DSA 1719-1] New gnutls13 packages fix certificate validation
Next by Date: [debian-users:51916] [Translate] [SECURITY] [DSA 1723-1] New phpmyadmin packages fix arbitrary code execution
Previous by thread: [debian-users:51914] [Translate] [SECURITY] [DSA 1719-1] New gnutls13 packages fix certificate validation
Next by thread: [debian-users:51916] [Translate] [SECURITY] [DSA 1723-1] New phpmyadmin packages fix arbitrary code execution
Index(es):
- Date
- Thread