Sikkerhedsoplysninger / 2013 / Sikkerhedsoplysninger -- DSA-2611-1 movabletype-opensource

Debians sikkerhedsbulletin

DSA-2611-1 movabletype-opensource -- flere sårbarheder

Rapporteret den:

22. jan 2013

Berørte pakker:

movabletype-opensource

Sårbar:

Ja

Referencer i sikkerhedsdatabaser:

I Debians fejlsporingssystem: Fejl 697666.
I Mitres CVE-ordbog: CVE-2013-0209.

Yderligere oplysninger:

En problem med fornuftighedskontrol af inddata blev fundet i opgraderingsfunktionerne i movabletype-opensource, en webbaseret udgivelsesplatform. Med benyttelse af omhyggeligt fabrikerede forespørgsler til filen mt-upgrade.cgi, var det muligt at indsprøjte styresystemskommandoer og SQL-forespørgsler.

I den stabile distribution (squeeze), er dette problem rettet i version 4.3.8+dfsg-0+squeeze3.

I distributionen testing (wheezy), er dette problem rettet i version 5.1.2+dfsg-1.

I den ustabile distribution (sid), er dette problem rettet i version 5.1.2+dfsg-1.

Vi anbefaler at du opgraderer dine movabletype-opensource-pakker.