Säkerhetsinformation / 2013 / Säkerhetsinformation -- DSA-2611-1 movabletype-opensource

Säkerhetsbulletin från Debian

DSA-2611-1 movabletype-opensource -- flera sårbarheter

Rapporterat den:

2013-01-22

Berörda paket:

movabletype-opensource

Sårbara:

Ja

Referenser i säkerhetsdatabaser:

I Debians felrapporteringssystem: Fel 697666.
I Mitres CVE-förteckning: CVE-2013-0209.

Ytterligare information:

Ett problem rörande kontroll av indata har hittats i uppgraderingsfunktionerna i movabletype-opensource, en webbaserad publiceringsplatform. Genom att använda försiktigt skapade förfrågningar till filen mt-upgrade.cgi, kunde det vara möjligt att injicera OS-kommandon och SQL-förfrågningar.

För den stabila utgåvan (Squeeze) har detta problem rättats i version 4.3.8+dfsg-0+squeeze3.

För uttestningsutgåvan (Wheezy) har detta problem rättats i version 5.1.2+dfsg-1.

För den instabila utgåvan (Sid) har detta problem rättats i version 5.1.2+dfsg-1.

Vi rekommenderar att ni uppgraderar era movabletype-opensource-paket.