Säkerhetsbulletin från Debian

DSA-1564-1 wordpress -- flera sårbarheter

Rapporterat den:
2008-05-01
Berörda paket:
wordpress
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Mitres CVE-förteckning: CVE-2007-3639, CVE-2007-4153, CVE-2007-4154, CVE-2007-0540.
Ytterligare information:

Flera utifrån nåbara sårbarheter har upptäckts i WordPress, en webbloggshanterare. Projektet Common Vulnerabilities and Exposures identifierar följande problem:

  • CVE-2007-3639

    Otillräcklig städning av indata gjorde det möjligt för angripare utifrån att omdirigera besökare till externa webbplatser.

  • CVE-2007-4153

    Flera serveröverskridande skriptsårbarheter gjorde det möjligt för autentiserade administratörer utifrån att injicera godtyckliga webbskript eller HTML.

  • CVE-2007-4154

    En SQL-injiceringssårbarhet gjorde det möjligt för autentiserade användare utifrån att exekvera godtyckliga SQL-kommandon.

  • CVE-2007-0540

    WordPress gjorde det möjligt för angripare att utföra en överbelastningsattack (bandbredds- eller trådkonsumtion) genom pingback-tjänsteanrop med en käll-URI som motsvarar en fil med en binär innehållstyp, vilken hämtades även om den inte innehöll någon användbar pingback-data.

  • [inget CVE-namn ännu]

    Otillräcklig städning av indata gjorde det möjligt för en angripare med ett normalt användarkonto att nå det administrativa gränssnittet.

För den stabila utgåvan (Etch) har dessa problem rättats i version 2.0.10-1etch2.

För den instabila utgåvan (Sid) har dessa problem rättats i version 2.2.3-1.

Vi rekommenderar att ni uppgraderar ert wordpress-paket.

Rättat i:

Debian GNU/Linux 4.0 (etch)

Källkod:
http://security.debian.org/pool/updates/main/w/wordpress/wordpress_2.0.10.orig.tar.gz
http://security.debian.org/pool/updates/main/w/wordpress/wordpress_2.0.10-1etch2.diff.gz
http://security.debian.org/pool/updates/main/w/wordpress/wordpress_2.0.10-1etch2.dsc
Arkitekturoberoende komponent:
http://security.debian.org/pool/updates/main/w/wordpress/wordpress_2.0.10-1etch2_all.deb

MD5-kontrollsummor för dessa filer finns i originalbulletinen.