Debian セキュリティ勧告

DSA-3085-1 wordpress -- セキュリティ更新

報告日時:
2014-12-03
影響を受けるパッケージ:
wordpress
危険性:
あり
参考セキュリティデータベース:
Debian バグ追跡システム: バグ 770425.
Mitre の CVE 辞書: CVE-2014-9031, CVE-2014-9033, CVE-2014-9034, CVE-2014-9035, CVE-2014-9036, CVE-2014-9037, CVE-2014-9038, CVE-2014-9039.
詳細:

複数のセキュリティ問題がウェブ上のブログ管理ツール Wordpress に確認されています。サービス拒否や情報漏洩につながります。 さらなる情報が上流の勧告にあります: https://wordpress.org/news/2014/11/wordpress-4-0-1/

  • CVE-2014-9031

    Jouko Pynnonen さんが wptexturize() にクロスサイトスクリプティング脆弱性 (XSS) を発見しています。コメントや投稿を経由し、認証不要で悪用可能です。

  • CVE-2014-9033

    パスワード変更プロセスにクロスサイトリクエストフォージェリ (CSRF) 脆弱性があり、攻撃者が悪用してユーザを騙し、 パスワードを変えさせることが可能です。

  • CVE-2014-9034

    Javier Nieto Arevalo さんと Andres Rojas Guerrero さんが、phpass ライブラリをパスワードの処理に利用している方法で パスワードの最大長が設定されていないことによる、 潜在的なサービス拒否を報告しています。

  • CVE-2014-9035

    John Blackbourn さんが、Press This機能 (ブラウザのブックマークレットを利用してすぐ公開する機能) に XSS を報告しています。

  • CVE-2014-9036

    Robert Chapin さんが、投稿内容の CSS に対する HTML フィルター処理に XSS を報告しています。

  • CVE-2014-9037

    David Anderson さんが、旧式の MD5 スキームを利用した保存されているパスワードのハッシュ比較に脆弱性を報告しています。 これを悪用してアカウントを侵害することは不可能なようですが、ユーザが Wordpress 2.5 への更新 (Debian には2008年4月2日にアップロード) 以後にログインしていない場合は PHP の動的比較が元でパスワードの MD5 ハッシュが衝突する可能性があります。

  • CVE-2014-9038

    Ben Bidner さんがコアの HTTP 層にサーバサイドリクエストフォージェリ (SSRF) を報告しています。ループバック IP アドレス空間を十分にブロックしていません。

  • CVE-2014-9039

    Momen Bassel さんと Tanoy Bose さん、Bojan Slavkovic さんがパスワードリセットプロセスに脆弱性を報告しています: メールアドレスの変更処理で前のパスワードリセットのメールを失効させていません。

安定版 (stable) ディストリビューション (wheezy) では、この問題はバージョン 3.6.1+dfsg-1~deb7u5 で修正されています。

次期安定版 (stable) ディストリビューション (jessie) では、この問題はバージョン 4.0.1+dfsg-1 で修正されています。

不安定版 (unstable) ディストリビューション (sid) では、この問題はバージョン 4.0.1+dfsg-1 で修正されています。

直ちに wordpress パッケージをアップグレードすることを勧めます。