Die Blog-Software Movable Type schloss mit den Updates 5.13, 5.07 und 4.38 am 21. Februar mehrere Sicherheitslücken. Inzwischen gibt es einen Patch für den „Template load error”, der durch die Updates entstand.
Internes Audit deckt zahlreiche Risiken auf
Am 21. Februar veröffentlichte das freie (GPL-Lizenz) Open Source Weblog Publishing System Movable Type die Sicherheits-Updates 5.13, 5.07 und 4.38, die mehrere, im Rahmen eines Security-Audits gefundene Sicherheitslücken beseitigten. Die Spannweite der bei der internen Prüfung entdeckten Risiken reichte von OS Command Injections, über CSRF (Cross-Site Request Forgery) und Session Hijacking bis XSS (Cross-Site-Scripting). Betroffen waren die Versionen:
- Movable Type Open Source 4.38
- Movable Type Open Source 5.07
- Movable Type Open Source 5.13
- Movable Type 4.38 (mit Professional Pack und Community Pack)
- Movable Type 5.07 (mit Professional Pack und Community Pack)
- Movable Type 5.13 (mit Professional Pack und Community Pack)
- Movable Type Enterprise 4.38
- Movable Type Advanced 5.13
Template Load Error
In einigen Fällen traten nach dem Einspielen der Updates Probleme mit Template-Plugins auf („Template load error”). Zur Behebung dieses Fehlers wurde am 1. März ein Patch veröffentlicht.
Weiterführende Links
- Announcement vom 21.02.2012: Movable Type 5.13, 5.07, and 4.38 Security Updates
- 01.03.2012: Movable Type 5.13, 5.07, and 4.38 patch to fix the plugin template load error
- Release Notes: Movable Type 5.13, 5.07, and 4.38 Release Notes
- Release Notes: Movable Type 5.13, 5.07, and 4.38 patch to fix the plugin template load error