Debians sikkerhedsbulletin

DSA-2718-1 wordpress -- flere sårbarheder

Rapporteret den:
1. jul 2013
Berørte pakker:
wordpress
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Debians fejlsporingssystem: Fejl 713947.
I Mitres CVE-ordbog: CVE-2013-2173, CVE-2013-2199, CVE-2013-2200, CVE-2013-2201, CVE-2013-2202, CVE-2013-2203, CVE-2013-2204, CVE-2013-2205.
Yderligere oplysninger:

Flere sårbarheder blev opdaget i WordPress, et værktøj til webblogging. Da CVE'erne blev registreret ud fra udgivelsesannonceringer og de specifikke rettelser almindeligvis ikke identificeres, har man besluttet at opgradere wordpress-pakken til den seneste opstrømsversion, i stedet for at tilbageføre rettelserne.

Det betyder at man skal være ekstra omhyggelig ved opgradering, særligt ved anvendelse af tredjepartsplugins- eller tema, da kompabiliteten kan være blevet påvirket, som tiden er gået. Vi anbefaler at brugere kontrollerer deres installation, før opgraderingen udføres.

  • CVE-2013-2173

    Et lammelsesangreb (denial of service) blev fundet i den måde, hvorpå WordPress udfører hashberegninger, når adgangskoder til beskyttede indlæg kontrolleres. En angriber, der leverer omhyggeligt fabrikerede inddata som en adgangskode, kunne få platformen til at bruge alt for mange CPU-ressourcer.

  • CVE-2013-2199

    Flere sårbarheder i forbindelse med forespørgselsforfalskninger på serversiden (SSRF), blev fundet i HTTP-API'et. Det er relateret til CVE-2013-0235, der specifikt vedrørte SSRF i pingback-forespørgsler og som blev rettet i version 3.5.1.

  • CVE-2013-2200

    Utilstrækkelig kontrol af en brugers muligheder, kunne føre til en rettighedsforøgelse, hvilket medførte at vedkommende kunne udgive indlæg, når brugerrollen ellers ikke tillader det, samt tildele indlæg til andre brugere.

  • CVE-2013-2201

    Flere sårbarheder i forbindelse med udførelse af skripter på tværs af websteder (XSS), på grund af dårligt indkapslede inddata, blev fundet i mediefilerne og pluginuploadformularerne.

  • CVE-2013-2202

    Sårbarhed i forbindelse med XML External Entity Injection (XXE) via oEmbed-svar.

  • CVE-2013-2203

    En komplet sti-afsløring (FPD) blev fundet i filuploadmekanismen. Hvis uploadmappen ikke var skrivbar, indeholdt fejlbeskeden den komplette sti til mappen.

  • CVE-2013-2204

    Indholdsforfalskning via Flash-applet i den indlejrede tinyMCE-medieplugin.

  • CVE-2013-2205

    XSS på tværs af domæner i den indlejrede SWFupload-uploader.

I den gamle stabile distribution (squeeze), er disse problemer rettet i version 3.5.2+dfsg-1~deb6u1.

I den stabile distribution (wheezy), er disse problemer rettet i version 3.5.2+dfsg-1~deb7u1.

I distributionen testing (jessie), er disse problemer rettet i version 3.5.2+dfsg-1.

I den ustabile distribution (sid), er disse problemer rettet i version 3.5.2+dfsg-1.

Vi anbefaler at du opgraderer dine wordpress-pakker.