Säkerhetsbulletin från Debian
DSA-2611-1 movabletype-opensource -- flera sårbarheter
- Rapporterat den:
- 2013-01-22
- Berörda paket:
- movabletype-opensource
- Sårbara:
- Ja
- Referenser i säkerhetsdatabaser:
- I Debians felrapporteringssystem: Fel 697666.
I Mitres CVE-förteckning: CVE-2013-0209. - Ytterligare information:
-
Ett problem rörande kontroll av indata har hittats i uppgraderingsfunktionerna i movabletype-opensource, en webbaserad publiceringsplatform. Genom att använda försiktigt skapade förfrågningar till filen mt-upgrade.cgi, kunde det vara möjligt att injicera OS-kommandon och SQL-förfrågningar.
För den stabila utgåvan (Squeeze) har detta problem rättats i version 4.3.8+dfsg-0+squeeze3.
För uttestningsutgåvan (Wheezy) har detta problem rättats i version 5.1.2+dfsg-1.
För den instabila utgåvan (Sid) har detta problem rättats i version 5.1.2+dfsg-1.
Vi rekommenderar att ni uppgraderar era movabletype-opensource-paket.