blob: 0904b19fc66909369c23faff08ca08c2e6ff2a5c (
plain) (
blame)
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
|
#use wml::debian::translation-check translation="d5c02dfb967483449a87a45b43d9526560c87813" maintainer="Lev Lamberov"
<define-tag description>несколько уязвимостей</define-tag>
<define-tag moreinfo>
<p>В Movable Type, системе для ведения блога, было обнаружено
несколько уязвимостей:</p>
<p>При определённых обстоятельствах пользователь, имеющий права на <q>создание записей</q> или
<q>управление блогом</q>, может считывать известные файлы из локальной файловой
системы.</p>
<p>Система управления файлами содержит уязвимости, приводящие к введению
команд командной оболочки, наиболее серьёзная из которых может приводить к выполнению произвольных
команд ОС пользователем, имеющим права на вход в
сценарий администрирования, а также на загрузку файлов.</p>
<p>В сценариях комментирования и сообщества имеются уязвимости, позволяющие перехватывать
сессию и выполнять подделку межсайтовых запросов. Удалённый злоумышленник при определённых
обстоятельствах может перехватить сессию пользователя или может выполнить произвольный
сценарий в браузере жертвы.</p>
<p>Шаблоны, в которых свойства переменных не экранируются, а также mt-wizard.cgi
содержат межсайтовый скриптинг.</p>
<p>В стабильном выпуске (squeeze) эти проблемы были исправлены
в версии 4.3.8+dfsg-0+squeeze2.</p>
<p>В тестируемом (wheezy) и нестабильном (sid) выпусках
эти проблемы были исправлены в версии 5.1.3+dfsg-1.</p>
<p>Рекомендуется обновить пакеты movabletype-opensource.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2012/dsa-2423.data"
# $Id$
|
