Bulletin d'alerte Debian

DSA-3085-1 wordpress -- Mise à jour de sécurité

Date du rapport :
3 décembre 2014
Paquets concernés :
wordpress
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 770425.
Dans le dictionnaire CVE du Mitre : CVE-2014-9031, CVE-2014-9033, CVE-2014-9034, CVE-2014-9035, CVE-2014-9036, CVE-2014-9037, CVE-2014-9038, CVE-2014-9039.
Plus de précisions :

Plusieurs problèmes de sécurité ont été découverts dans Wordpress, un outil de blog, résultant en un déni de service ou en la divulgation d'informations. Plus d'informations sont disponibles dans l'annonce de l'équipe amont à l'adresse https://wordpress.org/news/2014/11/wordpress-4-0-1/

  • CVE-2014-9031

    Jouko Pynnonen a découvert une vulnérabilité de script intersite (XSS) non authentifié dans wptexturize(), exploitable par des commentaires ou des articles.

  • CVE-2014-9033

    Une vulnérabilité par contrefaçon de requête intersite (CSRF) dans le processus de changement de mot de passe pourrait être utilisée par un attaquant pour piéger un utilisateur en changeant son mot de passe.

  • CVE-2014-9034

    Javier Nieto Arevalo et Andres Rojas Guerrero ont signalé un potentiel déni de service dans la manière dont la bibliothèque phpass est utilisée pour gérer les mots de passe dans la mesure aucune longueur maximum de mot de passe n'est imposée.

  • CVE-2014-9035

    John Blackbourn a signalé un script intersite (XSS) dans la fonction Press This (utilisée pour publier rapidement avec le signapplet - bookmarklet - d'un navigateur).

  • CVE-2014-9036

    Robert Chapin a signalé script intersite (XSS) dans le filtrage HTML de CSS dans les articles.

  • CVE-2014-9037

    David Anderson a signalé une vulnérabilité de comparaison de hachage pour les mots de passes stockés utilisant le schéma MD5 d'ancien style. Bien que cela soit peu probable, cela pourrait être exploité pour compromettre un compte, si l'utilisateur ne s'est pas connecté depuis la mise à niveau vers Wordpress 2.5 (introduite dans Debian le 2 avril 2008), et provoquer une collision du hachage MD5 du mot de passe imputable à une comparaison PHP dynamique.

  • CVE-2014-9038

    Ben Bidner a signalé une contrefaçon de requête du côté du serveur (SSRF) dans le cœur HTTP qui bloque insuffisamment l'espace d'adresses IP de bouclage.

  • CVE-2014-9039

    Momen Bassel, Tanoy Bose et Bojan Slavkovic ont signalé une vulnérabilité dans le processus de réinitialisation de mot de passe : un changement d'adresse électronique n'invaliderait pas un message antérieur de réinitialisation de mot de passe.

Pour la distribution stable (Wheezy), ces problèmes ont été corrigés dans la version 3.6.1+dfsg-1~deb7u5.

Pour la prochaine distribution stable (Jessie), ces problèmes ont été corrigés dans la version 4.0.1+dfsg-1.

Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 4.0.1+dfsg-1.

Nous vous recommandons de mettre à jour vos paquets wordpress.