Рекомендация Debian по безопасности
DSA-3183-1 movabletype-opensource -- обновление безопасности
- Дата сообщения:
- 12.03.2015
- Затронутые пакеты:
- movabletype-opensource
- Уязвим:
- Да
- Ссылки на базы данных по безопасности:
- В системе отслеживания ошибок Debian: Ошибка 712602, Ошибка 774192.
В каталоге Mitre CVE: CVE-2013-2184, CVE-2014-9057, CVE-2015-1592. - Более подробная информация:
-
В Movable Type, системе для ведения блога, были обнаружены многочисленные уязвимости. Проект Common Vulnerabilities and Exposures определяет следующие проблемы:
- CVE-2013-2184
Небезопасное использование Storable::thaw при обработке комментариев к сообщениям блога может позволить удалённому злоумышленнику добавить и выполнить произвольные локальные файлы на языке Perl или удалённо выполнить произвольный код.
- CVE-2014-9057
Натанель Рабин из Check Point Software Technologies обнаружил SQL-инъекцию в интерфейсе XML-RPC, позволяющую удалённым злоумышленникам выполнить произвольные команды SQL.
- CVE-2015-1592
Функция Perl Storable::thaw используется неправильно, что позволяет удалённым злоумышленникам добавлять и выполнять локальные файлы на языке Perl и удалённо выполнять произвольный код.
В стабильном выпуске (wheezy) эти проблема были исправлены в версии 5.1.4+dfsg-4+deb7u2.
Рекомендуется обновить пакеты movabletype-opensource.
- CVE-2013-2184