Рекомендация Debian по безопасности

DSA-3183-1 movabletype-opensource -- обновление безопасности

Дата сообщения:
12.03.2015
Затронутые пакеты:
movabletype-opensource
Уязвим:
Да
Ссылки на базы данных по безопасности:
В системе отслеживания ошибок Debian: Ошибка 712602, Ошибка 774192.
В каталоге Mitre CVE: CVE-2013-2184, CVE-2014-9057, CVE-2015-1592.
Более подробная информация:

В Movable Type, системе для ведения блога, были обнаружены многочисленные уязвимости. Проект Common Vulnerabilities and Exposures определяет следующие проблемы:

  • CVE-2013-2184

    Небезопасное использование Storable::thaw при обработке комментариев к сообщениям блога может позволить удалённому злоумышленнику добавить и выполнить произвольные локальные файлы на языке Perl или удалённо выполнить произвольный код.

  • CVE-2014-9057

    Натанель Рабин из Check Point Software Technologies обнаружил SQL-инъекцию в интерфейсе XML-RPC, позволяющую удалённым злоумышленникам выполнить произвольные команды SQL.

  • CVE-2015-1592

    Функция Perl Storable::thaw используется неправильно, что позволяет удалённым злоумышленникам добавлять и выполнять локальные файлы на языке Perl и удалённо выполнять произвольный код.

В стабильном выпуске (wheezy) эти проблема были исправлены в версии 5.1.4+dfsg-4+deb7u2.

Рекомендуется обновить пакеты movabletype-opensource.