[TYPO3-UG-Japan] [TYPO3-announce] Multiple vulnerabilities found in TYPO3 Core (TYPO3コアで脆弱性が見つかりました )

Sat Apr 4 13:51:58 CEST 2009

程田と申します。　TYPO3のコアで脆弱性が見つかったアナウンスがあ
りました。以下に概要を翻訳しました。

/////　[TYPO3-announce] より

Dear users of TYPO3,

It has been discovered that TYPO3 Core is vulnerable to Broken
Authentication and Session Management, Cross-Site Scripting,
Insecure
Randomness and Remote Command Execution.

All of these security issues have been fixed in the recent
released
packages.

Please see this page for a descriptions and solutions on all the
above
mentioned issues:

http://typo3.org/teams/security/security-bulletins/typo3-sa-2009-001/

Regards,

Lars Houmark
Member of the TYPO3 Security Team
lars at typo3.org

////

概要を翻訳をしました。

● TYPO3 セキュリティ速報 TYPO3-SA-2009-001:　TYPO3 Coreでいくつ
かの複合的な脆弱性が見つかりました。

エクステンション名: 　TYPO3 core

影響を受けるバージョン: 　TYPO3 versions 4.0.0 から 4.0.9, 　
4.1.0 から 4.1.7,　4.2.0 から 4.2.3

脆弱性の種類: 　安全でない複雑性(Randommess)

脆弱性の内容:　認証とセッション管理を壊してしまう、クロスサイト
スクリプティング、安全でない乱雑性(Randommess)とリモートでのコマ
ンド実行など。

解決策:  TYPO3 version 4.0.10　および　4.1.8 　または　
4.2.44.2.3　にアップデイトして下さい。

- -

脆弱性のサブコンポーネント #1: 　システムエクスｔンションインス
トールツール(install)

問題の詳細: 　TYPOで広く使われている暗号化キーが、低レベルの暗号
化情報量（エントロピー）により、不十分なランダム（乱数）要因
(seed)になる。

重大度: 　高い

- -

脆弱性のサブコンポーネント #2: 　認証ライブラリー

重大度: 　高い

- -

脆弱性のサブコンポーネント #3: 　システムエクステンション　
Indexed Search エンジン(Indexed_search)

重大度: 　中位

- -

脆弱性のサブコンポーネント #4: 　システムエクステンション
ADOdb(adodb)

重大度: 　中位

- - -

脆弱性のサブコンポーネント #5: 　ワークスペースモジュール

重大度: 　中位

- -

詳細情報：　英文ですが、次のサイトで確認して下さい。

http://typo3.org/teams/security/security-bulletins/typo3-sa-2009-001/

以上です。

-- 
Kazu Hodota / TYPO3 Japan LLP mail:hodota at typo3.co.jp
Tel:+81-44-2201588 Fax:+81-44-2729523 www.typo3.co.jp