Рекомендация Debian по безопасности

DSA-3085-1 wordpress -- обновление безопасности

Дата сообщения:
03.12.2014
Затронутые пакеты:
wordpress
Уязвим:
Да
Ссылки на базы данных по безопасности:
В системе отслеживания ошибок Debian: Ошибка 770425.
В каталоге Mitre CVE: CVE-2014-9031, CVE-2014-9033, CVE-2014-9034, CVE-2014-9035, CVE-2014-9036, CVE-2014-9037, CVE-2014-9038, CVE-2014-9039.
Более подробная информация:

В Wordpress, инструменте для ведения блога, были обнаружены многочисленные инструменты, приводящие к отказу в обслуживании и раскрытию информации. Дополнительная информация может быть найдена в рекомендации основной ветки разработки по следующему адресу: https://wordpress.org/news/2014/11/wordpress-4-0-1/

  • CVE-2014-9031

    Йоуко Пюннонен обнаружил неаутентифицированный межсайтовый скриптинг (XSS) в функции wptexturize(), который может использоваться через комментарии или посты.

  • CVE-2014-9033

    Подделка межсайтовых запросов (CSRF) в процессе изменения пароля, которое может использоваться злоумышленником для обмана пользователя.

  • CVE-2014-9034

    Хавьер Нието Аревало и Андрес Рохас Гуерреро сообщили о потенциальном отказе в обслуживании в том способе, который используется библиотекой phpass для обработки паролей, поскольку максимальный размер пароля не установлен.

  • CVE-2014-9035

    Джон Блэкберн сообщил об XSS в функции Нажмите это (используется для быстрой публикации с использованием bookmarklet браузера).

  • CVE-2014-9036

    Роберт Чапин сообщил об XSS в коде фильтрации CSS в постах.

  • CVE-2014-9037

    Дэвид Андерсон сообщил об уязвимости кода для сравнения хэшей паролей, сохранённых с использованием устаревшей схемы MD5. Хоть это и маловероятно, данная уязвимость может использоваться для компрометации учётной записи, если пользователь не вошёл в систему после обновления Wordpress 2.5 (оно было загружено в Debian 2 апреля 2008 года), и произошёл конфликт MD5-хэшей пароля из-за динамического сравнения в PHP.

  • CVE-2014-9038

    Бэн Биднер сообщил о подделке запроса на стороне сервера (SSRF) в базовой прослойке HTTP, которая недостаточно блокирует адресное пространство кольцевого интерфейса.

  • CVE-2014-9039

    Момен Бэсил, Таной Боус и Бойан Славкович сообщили об уязвимости в процессе сброса пароля: изменение адреса электронной почты не приведёт к отмене отправки сообщения о сбросе пароля на старый ящик.

В стабильном выпуске (wheezy) эти проблемы были исправлены в версии 3.6.1+dfsg-1~deb7u5.

В готовящемся стабильном выпуске (jessie) эти проблемы были исправлены в версии 4.0.1+dfsg-1.

В нестабильном выпуске (sid) эти проблемы были исправлены в версии 4.0.1+dfsg-1.

Рекомендуется обновить пакеты wordpress.