Debians sikkerhedsbulletin

DSA-3085-1 wordpress -- sikkerhedsopdatering

Rapporteret den:
3. dec 2014
Berørte pakker:
wordpress
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Debians fejlsporingssystem: Fejl 770425.
I Mitres CVE-ordbog: CVE-2014-9031, CVE-2014-9033, CVE-2014-9034, CVE-2014-9035, CVE-2014-9036, CVE-2014-9037, CVE-2014-9038, CVE-2014-9039.
Yderligere oplysninger:

Adskillige sikkerhedsproblemer er opdaget i Wordpress, et webbloggingværktøj, medførende lammelsesangreb (denial of service) eller informationsafsløring. Flere oplysninger finder man i opstrøms bulletin på https://wordpress.org/news/2014/11/wordpress-4-0-1/

  • CVE-2014-9031

    Jouko Pynnonen opdagede sårbarhed i forbindelse med uautentificeret udførelse af skripter på tværs af servere (XSS) i wptexturize(), udnytbar via kommentarer eller indlæg.

  • CVE-2014-9033

    En sårbarhed i forbindelse med forfalskning af forespørgsler på tværs af websteder (CSRF) i processen til ændring af adgangskoder, kunne udnyttes af en angriber til at narre en bruger til at ændre sin adgangskode.

  • CVE-2014-9034

    Javier Nieto Arevalo og Andres Rojas Guerrero rapporterede om et potentielt lammelsesangreb i den måde, phpass-biblioteket anvendes til at håndtere adgangskoder, da der ikke var opsat en maksimal adgangskodelængde.

  • CVE-2014-9035

    John Blackbourn rapporterede om et XSS i funktionen Press This (anvendes til hurtig udgivelse vha. af en browsers bookmarklet).

  • CVE-2014-9036

    Robert Chapin rapporterede om et XSS i HTML-filtreringen af CSS i indlæg.

  • CVE-2014-9037

    David Anderson rapporterede om en hashsammenligningssårbarhed vedrørende adgangskoder, som gemmes på den gammeldags MD5-manér. Om end det er usandsynligt, kunne sårbarheden udnyttes til at kompromittere en konto, hvis brugeren ikke var logget på efter en opdatering til Wordpress 2.5 (uploadet til Debian den 2. april 2008) og adgangskodens MD5-hash kunne der blive kolliderer med på grund af dynamisk sammenligning i PHP.

  • CVE-2014-9038

    Ben Bidner rapporterede eom forespørgselsforfalskning på serversiden (SSRF) i kerne-HTTP-laget, der på utilstrækkelig vis blokerede loopback-IP-adresserummet.

  • CVE-2014-9039

    Momen Bassel, Tanoy Bose og Bojan Slavkovic rapporterede om en sårbarhed i processen til nulstilling af adgangskoder: En mailadresseændring ugyldiggjorde ikke en tidligere mail vedrørende nulstilling af adgangskoden.

I den stabile distribution (wheezy), er disse problemer rettet i version 3.6.1+dfsg-1~deb7u5.

I den kommende stabile distribution (jessie), er disse problemer rettet i version 4.0.1+dfsg-1.

I den ustabile distribution (sid), er disse problemer rettet i version 4.0.1+dfsg-1.

Vi anbefaler at du opgraderer dine wordpress-pakker.