DFN-CERT-2015-0400 Movable Type: Mehrere Schwachstellen ermöglichen das Ausführen beliebigen Programmcodes [Linux][Debian]

DFN-CERT-2015-0400 Movable Type: Mehrere Schwachstellen ermöglichen das Ausführen beliebigen Programmcodes [Linux][Debian]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Movable Type >= 5.2
Movable Type <= 5.2.10 Movable Type <= Advanced 5.2.10 Movable Type <= Open Source 5.2.10 Movable Type <= Pro 5.2.10 Movable Type <= 5.17 Movable Type >= 6.0
Movable Type <= 6.0.5 Movable Type <= Advanced 6.0.6 Movable Type <= Pro 6.0.6 Betroffene Plattformen: Debian Linux 7.7 Wheezy Durch Ausnutzen dieser Schwachstellen kann ein entfernter, nicht authentisierter Angreifer beliebigen Programmcode zur Ausführung bringen. Für die stabile Distribution Debian Wheezy (7.7) steht ein Backport-Sicherheitsupdate zur Verfügung. Patch: Debian Security Advisory DSA-3183 https://www.debian.org/security/2015/dsa-3183

CVE-2015-1592: Schwachstelle ermöglicht das Ausführen beliebigen
Programmcodes

Eine Schwachstelle in Movable Type Pro, Open Source und Advanced bevor
5.2.12 sowie Pro und Advanced 6.0.x bevor 6.0.7 besteht in einer unsauberen
Verwendung der Storable::thaw-Funktion. Ein entfernter, nicht
authentisierter Angreifer kann diese Schwachstelle ausnutzen, um beliebige,
lokale Perl-Dateien einzufügen und auszuführen oder möglicherweise
beliebigen Programmcode auszuführen.

CVE-2014-9057: Schwachstelle in Movable Type erlaubt Ausführen beliebigen
Programmcodes

Eine Schwachstelle existiert in der XML-RPC-Schnitttstelle von Movable Type
bevor 5.18, 5.2.x bevor 5.2.11 und 6.x bevor 6.0.6. Ein entfernter, nicht
authentisierter Angreifer kann diese Schwachstelle ausnutzen, um beliebige
SQL-Befehle auszuführen.

CVE-2013-2184: Schwachstelle in Movable Type erlaubt Ausführen beliebigen
Programmcodes

Eine Schwachstelle in Movable Type besteht in einer unsicheren Verwendung
von Storable::thaw bei der Behandlung von Kommentaren zu Blog-Posts. Ein
entfernter, nicht authentisierter Angreifer kann diese Schwachstelle
ausnutzen, um beliebige, lokale Perl-Dateien einzufügen und auszuführen oder
möglicherweise beliebigen Programmcode auszuführen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2015-0400/

Schwachstelle CVE-2014-9057 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-9057

Schwachstelle CVE-2015-1592 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-1592

Debian Security Advisory DSA-3183:
https://www.debian.org/security/2015/dsa-3183

Schwachstelle CVE-2013-2184 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-2184

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben