FreeBSD：typo3 -- TYPO3 Core 中的多個弱點 (b9a347ac-8671-11e2-b73c-0019d18c446a)

high Nessus Plugin ID 65068

語系：

概要

遠端 FreeBSD 主機缺少一個或多個安全性相關更新。

說明

Typo 安全性團隊報告：

Extbase 架構 - 由於無法清理使用者輸入，Extbase 資料庫抽象層容易受到 SQL 插入攻擊。未安裝 Extbase 延伸模組的 TYPO3 網站不受影響。
如果 Extbase 延伸模組使用查詢物件模型且關係值為使用者產生的輸入，則會受到影響。報告者為發現並報告此問題的 Helmut Hummel 和 Markus Opahle。

存取追蹤機制 - 由於無法驗證使用者提供的輸入，存取追蹤機制會允許重新導向至任意 URL。為了修正此弱點，我們必須將使用存取追蹤機制 (jumpurl 功能) 傳輸連結至外部網站的 TYPO3 網站的現有行為加以破壞。連結產生已經變更，以包含會在重新導向至外部 URL 之前檢查的雜湊。這表示，已經發佈的舊連結 (例如透過電子報) 將再也無法運作。

解決方案

更新受影響的套件。

另請參閱

http://www.nessus.org/u?6092781d

http://www.nessus.org/u?a788df89

Plugin 詳細資訊

嚴重性: High

ID: 65068

檔案名稱: freebsd_pkg_b9a347ac867111e2b73c0019d18c446a.nasl

版本: 1.5

類型: local

系列: FreeBSD Local Security Checks

已發布: 2013/3/7

已更新: 2021/1/6

支援的感應器: Nessus

弱點資訊

CPE: p-cpe:/a:freebsd:freebsd:typo3, cpe:/o:freebsd:freebsd

必要的 KB 項目: Host/local_checks_enabled, Host/FreeBSD/release, Host/FreeBSD/pkg_info

修補程式發佈日期: 2013/3/6

弱點發布日期: 2013/3/6