Säkerhetsbulletin från Debian

DSA-3085-1 wordpress -- säkerhetsuppdatering

Rapporterat den:
2014-12-03
Berörda paket:
wordpress
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Debians felrapporteringssystem: Fel 770425.
I Mitres CVE-förteckning: CVE-2014-9031, CVE-2014-9033, CVE-2014-9034, CVE-2014-9035, CVE-2014-9036, CVE-2014-9037, CVE-2014-9038, CVE-2014-9039.
Ytterligare information:

Flera säkerhetsproblem har upptäckts i webbloggverktyget Wordpress, som resulterar i överbelastning eller utlämnande av information. Mer information kan hittas i uppströmsbulletinen på https://wordpress.org/news/2014/11/wordpress-4-0-1/

  • CVE-2014-9031

    Jouko Pynnonen upptäckte en oautentiserad serveröverskridande skriptsårbarhet (XSS) i wptexturize(), exploaterbar via kommentarer eller inlägg.

  • CVE-2014-9033

    En sårbarhet för sajtöverskridande förfalskning av förfrågningar (Cross site request forgery, CSRF) i processen för att ändra lösenord kunde användas av en angripare för att lura en användare till att ändra sitt lösenord.

  • CVE-2014-9034

    Javier Nieto Arevalo och Andres Rojas Guerrero rapporterade en potentiell överbelastning i sättet som biblioteket phpass används för att hantera lösenord, eftersom ingen maximal lösenordslängd var satt.

  • CVE-2014-9035

    John Blackbourn rapporterade en XSS i Press This-funktionen (används för snabbpublicering med hjälp av en webbläsar-bookmarklet).

  • CVE-2014-9036

    Robert Chapin rapporterade en XSS i HTML-filtreringen av CSS i inlägg.

  • CVE-2014-9037

    David Anderson rapporterade en sårbarhet rörande hashjämförelser för lösenord som lagras med hjälp av MD5-schemat av gamla stilen. Även om det är otänkbart kan det möjligen exploateras för att äventyra ett konto, om användaren inte har loggat in efter en Wordpress 2.5-uppdatering (som laddades upp till Debian den 2 April, 2008) och lösenordets MD5-hashsumma kunde kollideras med på grund av dynamisk jämförelse i PHP.

  • CVE-2014-9038

    Ben Bidner rapporterade en förfrågeförfalskning på serversidan (SSRF) i i HTTP-lagret som otillräckligt blockerar loopback IP-adressrymden.

  • CVE-2014-9039

    Momen Bassel, Tanoy Bose, och Bojan Slavkovic rapporterade en sårbarhet i processen för att återställa lösenord: en förändring av en e-postadress invaliderade inte en tidigare e-postadress för återställning.

För den stabila utgåvan (Wheezy) har dessa problem rättats i version 3.6.1+dfsg-1~deb7u5.

För den kommande stabila utgåvan (Jessie) har dessa problem rättats i version 4.0.1+dfsg-1.

För den instabila utgåvan (Sid) har dessa problem rättats i version 4.0.1+dfsg-1.

Vi rekommenderar att ni uppgraderar era wordpress-paket.