[TYPO3-UG-Japan] [TYPO3-announce] Multiple vulnerabilities found in TYPO3 Core (TYPO3コアで脆弱性が見つかりました )
Kazu.Hodota
hodota at typo3.co.jp
Sat Apr 4 13:51:58 CEST 2009
程田と申します。 TYPO3のコアで脆弱性が見つかったアナウンスがあ
りました。以下に概要を翻訳しました。
///// [TYPO3-announce] より
Dear users of TYPO3,
It has been discovered that TYPO3 Core is vulnerable to Broken
Authentication and Session Management, Cross-Site Scripting,
Insecure
Randomness and Remote Command Execution.
All of these security issues have been fixed in the recent
released
packages.
Please see this page for a descriptions and solutions on all the
above
mentioned issues:
http://typo3.org/teams/security/security-bulletins/typo3-sa-2009-001/
Regards,
Lars Houmark
Member of the TYPO3 Security Team
lars at typo3.org
////
概要を翻訳をしました。
● TYPO3 セキュリティ速報 TYPO3-SA-2009-001: TYPO3 Coreでいくつ
かの複合的な脆弱性が見つかりました。
エクステンション名: TYPO3 core
影響を受けるバージョン: TYPO3 versions 4.0.0 から 4.0.9,
4.1.0 から 4.1.7, 4.2.0 から 4.2.3
脆弱性の種類: 安全でない複雑性(Randommess)
脆弱性の内容: 認証とセッション管理を壊してしまう、クロスサイト
スクリプティング、安全でない乱雑性(Randommess)とリモートでのコマ
ンド実行など。
解決策: TYPO3 version 4.0.10 および 4.1.8 または
4.2.44.2.3 にアップデイトして下さい。
- -
脆弱性のサブコンポーネント #1: システムエクスtンションインス
トールツール(install)
問題の詳細: TYPOで広く使われている暗号化キーが、低レベルの暗号
化情報量(エントロピー)により、不十分なランダム(乱数)要因
(seed)になる。
重大度: 高い
- -
脆弱性のサブコンポーネント #2: 認証ライブラリー
重大度: 高い
- -
脆弱性のサブコンポーネント #3: システムエクステンション
Indexed Search エンジン(Indexed_search)
重大度: 中位
- -
脆弱性のサブコンポーネント #4: システムエクステンション
ADOdb(adodb)
重大度: 中位
- - -
脆弱性のサブコンポーネント #5: ワークスペースモジュール
重大度: 中位
- -
詳細情報: 英文ですが、次のサイトで確認して下さい。
http://typo3.org/teams/security/security-bulletins/typo3-sa-2009-001/
以上です。
--
Kazu Hodota / TYPO3 Japan LLP mail:hodota at typo3.co.jp
Tel:+81-44-2201588 Fax:+81-44-2729523 www.typo3.co.jp
More information about the TYPO3-UG-Japan
mailing list