Säkerhetsbulletin från Debian

DSA-1601-1 wordpress -- flera sårbarheter

Rapporterat den:
2008-07-04
Berörda paket:
wordpress
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Debians felrapporteringssystem: Fel 437085, Fel 464170.
I Mitres CVE-förteckning: CVE-2007-1599, CVE-2008-0664.
Ytterligare information:

Man har upptäckt flera utifrån nåbara sårbarheter i Wordpress, webblogghanteraren. Projektet Common Vulnerabilities and Exposures identifierar följande problem:

  • CVE-2007-1599

    WordPress gjorde det möjligt för angripare att omdirigera autentiserade användare till andra webbplatser och potentiellt få tag på känslig information.

  • CVE-2008-0664

    Implementationen av XML-RPC kunde, om registrering aktiverats, göra det möjligt för angripare utifrån att redigera inlägg från andra blogganvändare.

För den stabila utgåvan (Etch) har dessa problem rättats i version 2.0.10-1etch3.

För den instabila utgåvan (Sid) har dessa problem rättats i version 2.3.3-1.

Vi rekommenderar att ni uppgraderar ert wordpress-paket.

Rättat i:

Debian GNU/Linux 4.0 (etch)

Källkod:
http://security.debian.org/pool/updates/main/w/wordpress/wordpress_2.0.10.orig.tar.gz
http://security.debian.org/pool/updates/main/w/wordpress/wordpress_2.0.10-1etch3.dsc
http://security.debian.org/pool/updates/main/w/wordpress/wordpress_2.0.10-1etch3.diff.gz
Arkitekturoberoende komponent:
http://security.debian.org/pool/updates/main/w/wordpress/wordpress_2.0.10-1etch3_all.deb

MD5-kontrollsummor för dessa filer finns i originalbulletinen.