Boletines de Vulnerabilidades |
Publicación actualización de seguridad de Movable Type |
|
Clasificación de la vulnerabilidad |
|
Propiedad | Valor |
Nivel de Confianza | Oficial |
Impacto | Ejecucion remota de codigo |
Dificultad | Avanzado |
Requerimientos del atacante | Acceso remoto sin cuenta a un servicio estandar |
Información sobre el sistema |
|
Propiedad | Valor |
Fabricante afectado | GNU/Linux |
Software afectado | Versiones 4.2.x, 4.3.x |
Descripción |
|
Movable Type es una herramienta web desarrollada como software libre destinada a la creación y publicación de weblogs. El weblogger, a la hora de usar este software, ha de disponer de un servicio de hospedaje y un servidor web que soporte bases de datos. Se ha detectado un problema de actualización de Movable Type-opensource, usando peticiones cuidadosamente elaborado para el archivo mt-upgrade.cgi, sería posible inyectar comandos y consultas de SQL. |
|
Solución |
|
Descargar los parches de seguridad. Actualizar a la versión 4.3.8. Visitar el siguiente link: http://packages.debian.org/search?searchon=sourcenames&keywords=movabletype-opensource |
|
Identificadores estándar |
|
Propiedad | Valor |
CVE | CVE-2013-0209 |
BID | |
Recursos adicionales |
|
SecLists http://seclists.org/bugtraq/2013/Jan/89 Página Debian http://www.debian.org/security/2013/dsa-2611 National vulnerability Database http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-0209 Página Movable Type http://www.movabletype.org/2013/01/movable_type_438_patch.html |
Histórico de versiones |
||
Versión | Comentario | Fecha |
1.0 | Aviso emitido | 2013-01-28 |