Säkerhetsinformation / 2015 / Säkerhetsinformation -- DSA-3183-1 movabletype-opensource

Säkerhetsbulletin från Debian

DSA-3183-1 movabletype-opensource -- säkerhetsuppdatering

Rapporterat den:

2015-03-12

Berörda paket:

movabletype-opensource

Sårbara:

Ja

Referenser i säkerhetsdatabaser:

I Debians felrapporteringssystem: Fel 712602, Fel 774192.
I Mitres CVE-förteckning: CVE-2013-2184, CVE-2014-9057, CVE-2015-1592.

Ytterligare information:

Flera sårbarheter har upptäckts i Movable Type, ett blogsystem. Projektet Common Vulnerabilities and Exposures identifierar följande problem:

• CVE-2013-2184

  Osäker användning av Storable::thaw i hanteringen av kommentarer till blogposter kunde tillåta fjärrangripare att inkludera och köra godtyckliga lokala Perlfiler eller möjligen köra godtycklig kod från fjärran.

• CVE-2014-9057

  Netanel Rubin från Check Point Software Technologies upptäckte en SQL-injiceringssårbarhet i gränssnittet XML-RPC som tillåter fjärrangripare att köra godtyckliga SQL-kommandon.

• CVE-2015-1592

  Perlfunktionen Storable::thaw används inte korrekt, vilket tillåter fjärrangripare att inkludera och kör godtyckliga lokala Perlfiler och möjligen köra godtycklig kod från fjärran.

För den stabila utgåvan (Wheezy) har dessa problem rättats i version 5.1.4+dfsg-4+deb7u2.

Vi rekommenderar att ni uppgraderar era movabletype-opensource-paket.