Debian セキュリティ勧告

DSA-2718-1 wordpress -- 複数の脆弱性

報告日時:
2013-07-01
影響を受けるパッケージ:
wordpress
危険性:
あり
参考セキュリティデータベース:
Debian バグ追跡システム: バグ 713947.
Mitre の CVE 辞書: CVE-2013-2173, CVE-2013-2199, CVE-2013-2200, CVE-2013-2201, CVE-2013-2202, CVE-2013-2203, CVE-2013-2204, CVE-2013-2205.
詳細:

ウェブ上のブログ管理ツール WordPress に複数の脆弱性が確認されています。 CVE がリリース告知から割り当てられたために個別の修正を通常判別できず、 パッチをバックポートするのではなく wordpress パッケージを最新の上流バージョンにアップグレードすることを決定しました。

これはつまり今後の互換性に影響があるかもしれないということで、 特にサードパーティのプラグインやテーマを利用している場合は アップグレード時に特別な注意を払うようにしてください。ユーザには、 アップグレードの前にそういったものがインストールされているか確認することを勧めます。

  • CVE-2013-2173

    WordPress の保護された投稿のパスワード確認でのハッシュ計算の実行方法にサービス拒否が見つかりました。 攻撃者が巧妙に細工した入力をパスワードとして提供することにより、プラットフォームが CPU を過剰に利用する可能性があります。

  • CVE-2013-2199

    複数のサーバサイドリクエストフォージェリ (SSRF) 脆弱性が HTTP API に見つかりました。これは pingback リクエストでの SSRF に限定して 3.5.1 で修正された CVE-2013-0235 に関連します。

  • CVE-2013-2200

    ユーザ権限の確認が不十分なために特権の昇格につながる可能性があり、 そのユーザからは許可されないはずの投稿を公開したり、 他の投稿者の投稿に割り当てるといったことが可能になります。

  • CVE-2013-2201

    不正にエスケープした入力によるクロスサイトスクリプティング (XSS) 脆弱性が複数、 メディアファイルとプラグインアップロードフォームに見つかりました。

  • CVE-2013-2202

    oEmbed 応答を経由した XML 外部エンティティインジェクション (XXE) 脆弱性

  • CVE-2013-2203

    完全パス漏洩 (FPD) がファイルアップロード機構に見つかりました。 アップロードディレクトリが書き込み可能ではない場合に返すエラーメッセージに そのディレクトリの完全パスが記載されていました。

  • CVE-2013-2204

    組み込みの tinyMCE メディアプラグインでのフラッシュアプレットを経由した内容の偽装。

  • CVE-2013-2205

    組み込みの SWFupload アップローダーにクロスドメイン XSS があります。

旧安定版 (oldstable) ディストリビューション (squeeze) では、この問題はバージョン 3.5.2+dfsg-1~deb6u1 で修正されています。

安定版 (stable) ディストリビューション (wheezy) では、この問題はバージョン 3.5.2+dfsg-1~deb7u1 で修正されています。

テスト版 (testing) ディストリビューション (jessie) では、この問題はバージョン 3.5.2+dfsg-1 で修正されています。

不安定版 (unstable) ディストリビューション (sid) では、この問題はバージョン 3.5.2+dfsg-1 で修正されています。

直ちに wordpress パッケージをアップグレードすることを勧めます。