检测

openSUSE 安全更新:typo3-cms-4_5/typo3-cms-4_6/typo3-cms-4_7 (openSUSE-SU-2013:0510-1)

high Nessus 插件 ID 74935

语言:

简介

远程 openSUSE 主机缺少安全更新。

描述

Typo3 CMS 版本已更新,添加了安全和缺陷补丁。

- 升级到版本 4.5.25

- 缺陷补丁:jumpurl 安全补丁导致外部 URL 回归 (Helmut Hummel),t3#46071

- 升级到版本 4.5.24

- 引发子模块指针 (TYPO3 Release Team)

- 安全:通过 jumpurl 开放重定向 (Franz G. Jahn),t3#28587、bnc#808528、CVE-2013-1843

- 缺陷补丁:检查 TCAtree 的微项目 (Georg Ringer),t3#25003

- 缺陷补丁:保留自定义 HTML5 属性中的连字符 (Jigal van Hemert),t3#34371

- 恢复“[BUGFIX] FE session records are never removed”(Oliver Hader),t3#45570

- 安全补丁: Typo3 Extbase 框架 SQL 注入,bnc#808528,CVE-2013-1842

- 升级到版本 4.5.23

- 引发子模块指针

- 缺陷补丁:t3lib_iconWorks 必须在使用数组之前检查其是否存在,t3#24248

- 缺陷补丁:在 adminOnly 模式中,无法进行 BE 用户切换,t3#32686

- 缺陷补丁:Excludefieds 必须排除仅管理员权限表格,t3#34460

- 缺陷补丁:TypoLink:在子文件夹中安装时的绝对 url,t3#33214

- 引发子模块指针

- 缺陷补丁:[Cache][PDO] 可能复制缓存条目,t3#34129

- 缺陷补丁:IE9 兼容性清除缓存菜单,t3#36364

- 缺陷补丁:对 ContentContentObject 中的 modifyDBRow 进行挂钩调用,t3#44416

- 缺陷补丁:修复了 RTE 元菜单中的拼写错误,t3#43886

- 缺陷补丁:在处理之前加载 TCA,t3#38505

- DataHandler::getAutoVersionId() 应为公用,t3#45050

- 缺陷补丁:在计划程序模块中加载日期-时间选择器,t3#31027

- 缺陷补丁:快速编辑可触发缺失密钥 uid 警告,t3#42845

- 引发子模块指针

- 缺陷补丁:修复了“维护”选项卡上 em 中的警告,t3#39680

- 缺陷补丁:修正了上传渲染的 TCA 包含,t3#44145

- 缺陷补丁:更新了有关更改错误报告默认设置的描述,t3#38240

- 缺陷补丁:修复了 stdWrap_crop 描述中的拼写错误,t3#43919

- 缺陷补丁:Apc 缓存后端产生副作用,t3#38135

- 缺陷补丁:对 t3lib_TCEmain::processRemapStack() 的调用无效,t3#44301

- 引发子模块指针

- 缺陷补丁:建议向导位于窗体输入背后,t3#42092

- 缺陷补丁:phpdoc:$urlParameters 可以是字符串,t3#44263

- 缺陷补丁:从不删除 FE 会话记录,t3#34964

- 缺陷补丁:INTincScript_loadJSCode() 导致 PHP 警告,t3#32278

- 缺陷补丁:在 iOS 和 Android 上通过 WebKit 版本 534 启用 RTE,t3#43603

- 缺陷补丁:从 sysext“install”中删除 RuntimeException 中的 HTML,t3#38472

- 缺陷补丁:修复了字段 colpos 的 web>list 中的错误列标题,t3#25113

- 缺陷补丁:SqlParser:剪裁所有类型的空白,t3#43470

- 删除 typo3.pageModule.js,t3#43459

- 缺陷补丁:Installer:引用图像错误,t3#42292

- 缺陷补丁:页面信息显示不正确的总点击次数,t3#41608

- 缺陷补丁:“安装工具被锁定”页面上仍为旧徽标,t3#42908

- 缺陷补丁:请将 php-openid 更新到 2.2.2,t3#42236

- 按表格对 excludefields 进行分组,t3#34098

- 缺陷补丁:使用工作空间时隐藏版本选择器,t3#43264

- 引发子模块指针

- 将版本升级到 4.6.18

- 缺陷补丁:jumpurl 安全补丁导致外部 URL 回归 (Helmut Hummel),t3#46071

- 将版本升级到 4.6.17

- 引发子模块指针 (TYPO3 Release Team)

- 安全:通过 jumpurl 开放重定向 (Franz G. Jahn),t3#28587、bnc#808528、CVE-2013-1843

- 安全补丁: Typo3 Extbase 框架 SQL 注入,bnc#808528,CVE-2013-1842

- 将版本升级到 4.6.16

- 缺陷补丁:本地化回退对 TS 标签无效,t3#44099

- 缺陷补丁:本地化回退对 BE 中的 ExtJS 无效,t3#44273

- 引发子模块指针

- 缺陷补丁:允许将“en”作为语言键,t3#42084

- 引发子模块指针

- 缺陷补丁:[Cache][PDO] 可能复制缓存条目,t3#34129

- 缺陷补丁:IE9 兼容性清除缓存菜单,t3#36364

- 缺陷补丁:对 ContentContentObject 中的 modifyDBRow 进行挂钩调用,t3#44416

- 缺陷补丁:修复了 RTE 元菜单中的拼写错误,t3#43886

- 缺陷补丁:在处理之前加载 TCA,t3#38505

- 缺陷补丁:对窗体视图中的空表单值添加检查,t3#28606

- DataHandler::getAutoVersionId() 应为公用,t3#45050

- 缺陷补丁:快速编辑可触发缺失密钥 uid 警告,t3#42845

- 引发子模块指针

- 缺陷补丁:修复了“维护”选项卡上 em 中的警告,t3#39680

- 缺陷补丁:修正了上传渲染的 TCA 包含,t3#44145

- 缺陷补丁:更新了有关更改错误报告默认设置的描述,t3#38240

- 缺陷补丁:修复了 stdWrap_crop 描述中的拼写错误,t3#43919

- 缺陷补丁:Apc 缓存后端产生副作用,t3#38135

- 缺陷补丁:对 t3lib_TCEmain::processRemapStack() 的调用无效,t3#44301

- 引发子模块指针

- 缺陷补丁:建议向导位于窗体输入背后,t3#42092

- 缺陷补丁:phpdoc:$urlParameters 可以是字符串,t3#44263

- 缺陷补丁:从不删除 FE 会话记录,t3#34964

- 缺陷补丁:INTincScript_loadJSCode() 导致 PHP 警告,t3#32278

- 缺陷补丁:修复了安装工具中损坏的徽标文件,t3#43426

- 缺陷补丁:从 sysext“install”中删除 RuntimeException 中的 HTML,t3#38472

- 缺陷补丁:修复了字段 colpos 的 web>list 中的错误列标题,t3#25113

- 缺陷补丁:SqlParser:剪裁所有类型的空白,t3#43470

- 删除 typo3.pageModule.js,t3#43459

- 缺陷补丁:Installer:引用图像错误,t3#42292

- 缺陷补丁:页面信息显示不正确的总点击次数,t3#41608

- 缺陷补丁:“安装工具被锁定”页面上仍为旧徽标,t3#42908

- 缺陷补丁:带换行符的表单值在电子邮件中转义,t3#32515

- 缺陷补丁:请将 php-openid 更新到 2.2.2,t3#42236

- 缺陷补丁:HTML 元素中的向导已移至 t3editor,t3#33813

- 缺陷补丁:Livesearch 工具栏应关闭其他工具栏,t3#32890

- 缺陷补丁:使用工作空间时隐藏版本选择器,t3#43264

- 缺陷补丁:FormWizard 中的主题字段,t3#35787

- 引发子模块指针

- 缺陷补丁:后端搜索中的整数搜索行为无效,t3#33700

- fluid,缺陷补丁:单元测试因时区损坏而失败,t3#45285

- fluid,缺陷补丁:日期 ViewHelper 未使用配置的时区,t3#12769

- fluid,缺陷补丁:修复拼写错误,并改进系统设置的备份,t3#45218

- fluid,缺陷补丁:删除由 setlocale 调用导致的 PHP 错误,t3#45118

- fluid,缺陷补丁:单元测试中的区域设置备份不完整,t3#44835

- fluid,缺陷补丁:selectViewHelper 排序应遵循区域设置,t3#43445

- fluid,缺陷补丁:图像 viewhelper 清除后端上下文中的 $GLOBALS['TSFE'],t3#43446

- fluid,缺陷补丁:AbstractFormFieldViewHelper 始终转换实体,t3#34091

- linkvalidator,缺陷补丁:getLinkCounts 中的 SQL 错误,t3#43322

- 版本,缺陷补丁:使用 swap 按钮时可捕获的致命错误,t3#42948

- 升级到版本 4.7.10

- 缺陷补丁:jumpurl 安全补丁导致外部 URL 回归 (Helmut Hummel),t3#46071

- 添加了 rpmlintrc 以阻止重复的文件警告。

- 升级到版本 4.7.9

- 引发子模块指针 (TYPO3 Release Team)

- 安全:通过 jumpurl 开放重定向 (Franz G. Jahn),t3#28587、bnc#808528、CVE-2013-1843

- 缺陷补丁:两次提交表单时 RSA 密钥无效 (Benjamin Mack),t3#40085

- 安全补丁: Typo3 Extbase 框架 SQL 注入,bnc#808528,CVE-2013-1842

- 升级到版本 4.7.8

- 缺陷补丁:本地化回退对 TS 标签无效,t3#44099

- 缺陷补丁:本地化回退对 BE 中的 ExtJS 无效,t3#44273

- 引发子模块指针

- 缺陷补丁:允许将“en”作为语言键,t3#42084

- 引发子模块指针

- 缺陷补丁:[Cache][PDO] 可能复制缓存条目,t3#34129

- 缺陷补丁:IE9 兼容性清除缓存菜单,t3#36364

- 缺陷补丁:对 ContentContentObject 中的 modifyDBRow 进行挂钩调用,t3#44416

- 缺陷补丁:修复了 RTE 元菜单中的拼写错误,t3#43886

- 缺陷补丁:在处理之前加载 TCA,t3#38505

- 缺陷补丁:对窗体视图中的空表单值添加检查,t3#28606

- DataHandler::getAutoVersionId() 应为公用,t3#45050

- 缺陷补丁:关于模块中可能的警告,t3#44892

- 缺陷补丁:快速编辑可触发缺失密钥 uid 警告,t3#42845

- 引发子模块指针

- 缺陷补丁:修复了“维护”选项卡上 em 中的警告,t3#39680

- 缺陷补丁:EXT:felogin:preserveGETvars 的多种缺陷,t3#19938

- 缺陷补丁:修正了上传渲染的 TCA 包含,t3#44145

- 缺陷补丁:array_merge_recursive_overrule:数组值的 __UNSET,t3#43874

- 缺陷补丁:更新了有关更改错误报告默认设置的描述,t3#38240

- 缺陷补丁:修复了 stdWrap_crop 描述中的拼写错误,t3#43919

- 向计划程序任务添加仅保存按钮,t3#44152

- 缺陷补丁:Apc 缓存后端产生副作用,t3#38135

- 缺陷补丁:对 t3lib_TCEmain::processRemapStack() 的调用无效,t3#44301

- 引发子模块指针

- 建议向导位于表单输入背后,t3#42092

- 缺陷补丁:phpdoc:$urlParameters 可以是字符串,t3#44263

- 缺陷补丁:从不删除 FE 会话记录,t3#34964

- 缺陷补丁:INTincScript_loadJSCode() 导致 PHP 警告,t3#32278

- 缺陷补丁:修复了安装工具中损坏的徽标文件,t3#43426

- 缺陷补丁:在 iOS 和 Android 上通过 WebKit 版本 534 启用 RTE,t3#43603

- 缺陷补丁:使用 RTE 保存之后 IE9 崩溃,t3#43766

- 缺陷补丁:从 sysext“install”中删除 RuntimeException 中的 HTML,t3#38472

- 缺陷补丁:get_html_translation_table() 的兼容性补丁,t3#39287

- 缺陷补丁:修复了字段 colpos 的 web>list 中的错误列标题,t3#25113

- 缺陷补丁:SqlParser:剪裁所有类型的空白,t3#43470

- 删除 typo3.pageModule.js,t3#43459

- 缺陷补丁:Installer:引用图像错误,t3#42292

- 缺陷补丁:页面信息显示不正确的总点击次数,t3#41608

- 缺陷补丁:“安装工具被锁定”页面上仍为旧徽标,t3#42908

- 缺陷补丁:带换行符的表单值在电子邮件中转义,t3#32515

- 缺陷补丁:请将 php-openid 更新到 2.2.2,t3#42236

- 缺陷补丁:使用工作空间时隐藏版本选择器。
 t3#43264

- 缺陷补丁:FormWizard 中的主题字段,t3#35787

- 引发子模块指针

- 后端搜索中的整数搜索行为无效,t3#33700

解决方案

更新受影响的 typo3-cms-4_5/typo3-cms-4_6/typo3-cms-4_7 程序包。

另见

https://bugzilla.novell.com/show_bug.cgi?id=808528

https://lists.opensuse.org/opensuse-updates/2013-03/msg00079.html

插件详情

严重性: High

ID: 74935

文件名: openSUSE-2013-232.nasl

版本: 1.5

类型: local

代理: unix

发布时间: 2014/6/13

最近更新时间: 2021/1/19

支持的传感器: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Nessus

风险信息

VPR

风险因素: Medium

分数: 5.9

CVSS v2

风险因素: High

基本分数: 7.5

矢量: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P

漏洞信息

CPE: p-cpe:/a:novell:opensuse:typo3-cms-4_5, p-cpe:/a:novell:opensuse:typo3-cms-4_6, p-cpe:/a:novell:opensuse:typo3-cms-4_7, cpe:/o:novell:opensuse:12.3

必需的 KB 项: Host/local_checks_enabled, Host/SuSE/release, Host/SuSE/rpm-list

补丁发布日期: 2013/3/13

参考资料信息

CVE: CVE-2013-1842, CVE-2013-1843