Schnellnavigation überspringen

• Über Debian
• Nachrichten
• Debian besorgen
• Unterstützung
• Entwickler-Ecke
• Sitemap
• Suche

Debian-Sicherheitsankündigung

DSA-1564-1 wordpress -- Mehrere Verwundbarkeiten

Datum des Berichts:

01. Mai 2008

Betroffene Pakete:

wordpress

Verwundbar:

Ja

Sicherheitsdatenbanken-Referenzen:

In Mitres CVE-Verzeichnis: CVE-2007-3639, CVE-2007-4153, CVE-2007-4154, CVE-2007-0540.

Weitere Informationen:

In WordPress, einem Weblog-Verwalter, wurden mehrere aus der Ferne ausnutzbare Verwundbarkeiten gefunden. Das Common Vulnerabilities and Exposures-Projekt identifiziert die folgenden Probleme:

• CVE-2007-3639

  Ungenügende Eingabebereinigung erlaubt es Angreifern aus der Ferne, Besucher auf externe Websites umzuleiten.

• CVE-2007-4153

  Mehrere Site-übergreifende Skripting-Verwundbarkeiten erlaubten es authentifizierten Administratoren aus der Ferne beliebige Webskripte oder HTML einzuschleusen.

• CVE-2007-4154

  Eine SQL-FIXME-Verwundbarkeit erlaubt es authentifizierten Administratoren aus der Ferne beliebige SQL-Befehle auszuführen.

• CVE-2007-0540

  WordPress erlaubt es Angreifern aus der Ferne eine Diensteverweigerung (Denial of Service) auszulösen. Dies betrifft die Bandbreite oder die Benutzung von Threads über einen Pingback-Dienst, der mit einer Quell-URI aufgerufen wird, die einer Datei mit einem binären Inhaltstyp entspricht. Diese wird heruntergeladen, obwohl sie keine benutzbaren Pingback-Daten enthält.

• [noch kein CVE-Name]

  Unzureichende Eingabebereinigung ermöglichte es Angreifern mit normalen Benutzerkonten auf die administrative Schnittstelle zuzugreifen.

Für die stabile Distribution (Etch) wurden diese Probleme in Version 2.0.10-1etch2 behoben.

Für die instabile Distribution (Sid) wurden diese Probleme in Version 2.2.3-1 behoben.

Wir empfehlen, dass Sie Ihre wordpress-Pakete aktualisieren.

Behoben in:

Debian GNU/Linux 4.0 (etch)

Quellcode:

http://security.debian.org/pool/updates/main/w/wordpress/wordpress_2.0.10.orig.tar.gz

http://security.debian.org/pool/updates/main/w/wordpress/wordpress_2.0.10-1etch2.diff.gz

http://security.debian.org/pool/updates/main/w/wordpress/wordpress_2.0.10-1etch2.dsc

Architektur-unabhängige Dateien:

http://security.debian.org/pool/updates/main/w/wordpress/wordpress_2.0.10-1etch2_all.deb

MD5-Prüfsummen der aufgeführten Dateien stehen in der ursprünglichen Sicherheitsankündigung zur Verfügung.

Diese Seite gibt es auch in den folgenden Sprachen:

dansk English français 日本語 (Nihongo) svenska

Wie stellt man die Standardsprache ein