Debians sikkerhedsbulletin
DSA-3183-1 movabletype-opensource -- sikkerhedsopdatering
- Rapporteret den:
- 12. mar 2015
- Berørte pakker:
- movabletype-opensource
- Sårbar:
- Ja
- Referencer i sikkerhedsdatabaser:
- I Debians fejlsporingssystem: Fejl 712602, Fejl 774192.
I Mitres CVE-ordbog: CVE-2013-2184, CVE-2014-9057, CVE-2015-1592. - Yderligere oplysninger:
-
Adskillige sårbarheder blev opdaget i Movable Type, et bloggingsystem. Projektet Common Vulnerabilities and Exposures har registreret følgende problemer:
- CVE-2013-2184
Usikker anvendelse af Storable::thaw i håndteringen af kommentarerer til blogindlæg, kunne gøre det muligt for fjernangribere at medtage og udføre vilkårlige lokale Perl-filer eller muligvis fjernudføre vilkårlig kode.
- CVE-2014-9057
Netanel Rubin fra Check Point Software Technologies opdagede en SQL-indsprøjtningssårbarhed i XML-RPC-grænsefladen, hvilket gjorde det muligt for fjernangribere at udføre vilkårlige SQL-kommandoer.
- CVE-2015-1592
Perl-funktionen Storable::thaw blev ikke anvendt korrekt, hvilket gjorde det muligt for fjernangribere at medtage og udføre vilkårlige lokale Perl-filer samt muligvis fjernudføre vilkårlig kode.
I den stabile distribution (wheezy), er disse problemer rettet i version 5.1.4+dfsg-4+deb7u2.
Vi anbefaler at du opgraderer dine movabletype-opensource-pakker.
- CVE-2013-2184