Информация по безопасности / 2015 / Информация о безопасности -- DSA-3183-1 movabletype-opensource

Рекомендация Debian по безопасности

DSA-3183-1 movabletype-opensource -- обновление безопасности

Дата сообщения:

12.03.2015

Затронутые пакеты:

movabletype-opensource

Уязвим:

Да

Ссылки на базы данных по безопасности:

В системе отслеживания ошибок Debian: Ошибка 712602, Ошибка 774192.
В каталоге Mitre CVE: CVE-2013-2184, CVE-2014-9057, CVE-2015-1592.

Более подробная информация:

В Movable Type, системе для ведения блога, были обнаружены многочисленные уязвимости. Проект Common Vulnerabilities and Exposures определяет следующие проблемы:

• CVE-2013-2184

  Небезопасное использование Storable::thaw при обработке комментариев к сообщениям блога может позволить удалённому злоумышленнику добавить и выполнить произвольные локальные файлы на языке Perl или удалённо выполнить произвольный код.

• CVE-2014-9057

  Натанель Рабин из Check Point Software Technologies обнаружил SQL-инъекцию в интерфейсе XML-RPC, позволяющую удалённым злоумышленникам выполнить произвольные команды SQL.

• CVE-2015-1592

  Функция Perl Storable::thaw используется неправильно, что позволяет удалённым злоумышленникам добавлять и выполнять локальные файлы на языке Perl и удалённо выполнять произвольный код.

В стабильном выпуске (wheezy) эти проблема были исправлены в версии 5.1.4+dfsg-4+deb7u2.

Рекомендуется обновить пакеты movabletype-opensource.