Bulletin d'alerte Debian
DSA-3183-1 movabletype-opensource -- Mise à jour de sécurité
- Date du rapport :
- 12 mars 2015
- Paquets concernés :
- movabletype-opensource
- Vulnérabilité :
- Oui
- Références dans la base de données de sécurité :
- Dans le système de suivi des bogues Debian : Bogue 712602, Bogue 774192.
Dans le dictionnaire CVE du Mitre : CVE-2013-2184, CVE-2014-9057, CVE-2015-1592. - Plus de précisions :
-
Plusieurs vulnérabilités ont été découvertes dans Movable Type, un système de blog. Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants.
- CVE-2013-2184
Un usage non sûr de Storable::thaw dans le traitement de commentaires des posts de blog pourrait permettre à des attaquants distants d'inclure et exécuter des fichiers locaux Perl arbitraires ou éventuellement exécuter à distance du code arbitraire.
- CVE-2014-9057
Netanel Rubin de Check Point Software Technologies a découvert une vulnérabilité d'injection SQL dans l'interface XML-RPC permettant à des attaquants distants d'exécuter des commandes SQL arbitraires.
- CVE-2015-1592
La fonction Perl Storable::thaw n'est pas correctement utilisée, permettant à des attaquants distants d'inclure et exécuter des fichiers locaux Perl arbitraires et éventuellement exécuter à distance du code arbitraire.
Pour la distribution stable (Wheezy), ces problèmes ont été corrigés dans la version 5.1.4+dfsg-4+deb7u2.
Nous vous recommandons de mettre à jour vos paquets movabletype-opensource.
- CVE-2013-2184