Bulletin d'alerte Debian

DLA-236-1 wordpress -- Mise à jour de sécurité pour LTS

Date du rapport :
1er juin 2015
Paquets concernés :
wordpress
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2014-9031, CVE-2014-9033, CVE-2014-9034, CVE-2014-9035, CVE-2014-9036, CVE-2014-9037, CVE-2014-9038, CVE-2014-9039, CVE-2015-3438, CVE-2015-3439, CVE-2015-3440.
Plus de précisions :

De multiples problèmes de sécurité ont été corrigés dans la version Debian Squeeze-lts de Wordpress :

des attaquants distants pourraient...

  • ... envoyer des fichiers avec des noms non valables ou non sûrs ;
  • ... monter des attaques par ingénierie sociale ;
  • ... compromettre un site grâce à un script intersite ;
  • ... injecter des commandes SQL ;
  • ... provoquer un déni de service ou la divulgation d'informations.
  • CVE-2014-9031

    Jouko Pynnonen a découvert une vulnérabilité de script intersite (XSS) non authentifié dans wptexturize(), exploitable grâce à des commentaires ou des articles.

  • CVE-2014-9033

    Une vulnérabilité par contrefaçon de requête intersite (CSRF) dans le processus de changement de mot de passe pourrait être utilisée par un attaquant pour piéger un utilisateur en changeant son mot de passe.

  • CVE-2014-9034

    Javier Nieto Arevalo et Andres Rojas Guerrero ont signalé un potentiel déni de service dans la manière dont la bibliothèque phpass est utilisée pour gérer les mots de passe, dans la mesure aucune longueur maximum de mot de passe n'est imposée.

  • CVE-2014-9035

    John Blackbourn a signalé un script intersite (XSS) dans la fonction « Press This » (utilisée pour publier rapidement avec le signapplet – « bookmarklet » – d'un navigateur).

  • CVE-2014-9036

    Robert Chapin a signalé script intersite (XSS) dans le filtrage HTML de CSS dans les articles.

  • CVE-2014-9037

    David Anderson a signalé une vulnérabilité de comparaison de hachage pour les mots de passe stockés utilisant le schéma MD5 d'ancien style. Bien que cela soit peu probable, cela pourrait être exploité pour compromettre un compte, si l'utilisateur ne s'est pas connecté depuis la mise à niveau vers Wordpress 2.5 (introduite dans Debian le 2 avril 2008), et provoquer une collision du hachage MD5 du mot de passe imputable à une comparaison PHP dynamique.

  • CVE-2014-9038

    Ben Bidner a signalé une contrefaçon de requête du côté du serveur (SSRF) dans le cœur HTTP qui bloque insuffisamment l'espace d'adresses IP de bouclage.

  • CVE-2014-9039

    Momen Bassel, Tanoy Bose et Bojan Slavkovic ont signalé une vulnérabilité dans le processus de réinitialisation de mot de passe : un changement d'adresse électronique n'invaliderait pas un message antérieur de réinitialisation de mot de passe.

  • CVE-2015-3438

    Cedric Van Bockhaven a signalé et Gary Pendergast, Mike Adams et Andrew Nacin de l'équipe de sécurité de WordPress ont corrigé une vulnérabilité de script intersite, qui pourrait permettre à des utilisateurs anonymes de compromettre un site.

  • CVE-2015-3439

    Jakub Zoczek a découvert une vulnérabilité très limitée de script intersite qui pourrait être utilisée comme élément d'une attaque par ingénierie sociale.

  • CVE-2015-3440

    Jouko Pynnönen a découvert une vulnérabilité de script intersite qui pourrait permettre à des commentateurs de compromettre un site.