Debian-Sicherheitsankündigung
DSA-1564-1 wordpress -- Mehrere Verwundbarkeiten
- Datum des Berichts:
- 01. Mai 2008
- Betroffene Pakete:
- wordpress
- Verwundbar:
- Ja
- Sicherheitsdatenbanken-Referenzen:
- In Mitres CVE-Verzeichnis: CVE-2007-3639, CVE-2007-4153, CVE-2007-4154, CVE-2007-0540.
- Weitere Informationen:
-
In WordPress, einem Weblog-Verwalter, wurden mehrere aus der Ferne ausnutzbare Verwundbarkeiten gefunden. Das
Common Vulnerabilities and Exposures
-Projekt identifiziert die folgenden Probleme:- CVE-2007-3639
Ungenügende Eingabebereinigung erlaubt es Angreifern aus der Ferne, Besucher auf externe Websites umzuleiten.
- CVE-2007-4153
Mehrere Site-übergreifende Skripting-Verwundbarkeiten erlaubten es authentifizierten Administratoren aus der Ferne beliebige Webskripte oder HTML einzuschleusen.
- CVE-2007-4154
Eine SQL-FIXME-Verwundbarkeit erlaubt es authentifizierten Administratoren aus der Ferne beliebige SQL-Befehle auszuführen.
- CVE-2007-0540
WordPress erlaubt es Angreifern aus der Ferne eine Diensteverweigerung (Denial of Service) auszulösen. Dies betrifft die Bandbreite oder die Benutzung von Threads über einen Pingback-Dienst, der mit einer Quell-URI aufgerufen wird, die einer Datei mit einem binären Inhaltstyp entspricht. Diese wird heruntergeladen, obwohl sie keine benutzbaren Pingback-Daten enthält.
- [noch kein CVE-Name]
Unzureichende Eingabebereinigung ermöglichte es Angreifern mit normalen Benutzerkonten auf die administrative Schnittstelle zuzugreifen.
Für die stabile Distribution (Etch) wurden diese Probleme in Version 2.0.10-1etch2 behoben.
Für die instabile Distribution (Sid) wurden diese Probleme in Version 2.2.3-1 behoben.
Wir empfehlen, dass Sie Ihre wordpress-Pakete aktualisieren.
- CVE-2007-3639
- Behoben in:
-
Debian GNU/Linux 4.0 (etch)
- Quellcode:
- http://security.debian.org/pool/updates/main/w/wordpress/wordpress_2.0.10.orig.tar.gz
- http://security.debian.org/pool/updates/main/w/wordpress/wordpress_2.0.10-1etch2.diff.gz
- http://security.debian.org/pool/updates/main/w/wordpress/wordpress_2.0.10-1etch2.dsc
- http://security.debian.org/pool/updates/main/w/wordpress/wordpress_2.0.10-1etch2.diff.gz
- Architektur-unabhängige Dateien:
- http://security.debian.org/pool/updates/main/w/wordpress/wordpress_2.0.10-1etch2_all.deb
MD5-Prüfsummen der aufgeführten Dateien stehen in der ursprünglichen Sicherheitsankündigung zur Verfügung.