Рекомендация Debian по безопасности

DLA-236-1 wordpress -- обновление безопасности LTS

Дата сообщения:
01.06.2015
Затронутые пакеты:
wordpress
Уязвим:
Да
Ссылки на базы данных по безопасности:
В каталоге Mitre CVE: CVE-2014-9031, CVE-2014-9033, CVE-2014-9034, CVE-2014-9035, CVE-2014-9036, CVE-2014-9037, CVE-2014-9038, CVE-2014-9039, CVE-2015-3438, CVE-2015-3439, CVE-2015-3440.
Более подробная информация:

В версии Wordpress в Debian squeeze-lts были исправлены многочисленные проблемы безопасности:

Удалённые злоумышленники могут...

  • ... загружать файлы с некорректными или небезопасными именами
  • ... выполнять атаки по принципу социальной инженерии
  • ... компрометировать сайт через межсайтовый скриптинг
  • ... вводить команды SQL
  • ... вызывать отказ в обслуживании или раскрытие информации
  • CVE-2014-9031

    Йоуко Пюннёнен обнаружил неавторизованный межсайтовый скриптинг (XSS) в wptexturize(), который можно использовать через комментарии или сообщения.

  • CVE-2014-9033

    Подделка межсайтовых запросов (CSRF) в процессе смены пароля, которая может использоваться злоумышленником для того, чтобы обманным образом заставить пользователя сменить пароль.

  • CVE-2014-9034

    Хавьер Нието Аревало и Андрес Рохас Гуерреро сообщили о потенциальном отказе в обслуживании в способе, используемом библиотекой phpass для обработки паролей, поскольку не установлена максимальная длина пароля.

  • CVE-2014-9035

    Джон Блэкберн сообщил об XSS в функции Нажмите здесь (используется для быстрой публикации, используя bookmarklet браузера).

  • CVE-2014-9036

    Роберт Чапин сообщил об XSS в фильтрации CSS в сообщениях.

  • CVE-2014-9037

    Дэвид Андерсон сообщил об уязвимости сравнения хешей для паролей, сохранённых по старой схеме MD5. Хотя это и маловероятно, это может использоваться для компрометации учётной записи в том случае, если пользователь не выполнял вход после обновления Wordpress 2.5 (обновление в Debian произведено 2 апреля 2008 года), столкновение MD5-хешей паролей может произойти из-за динамического сравнения в PHP.

  • CVE-2014-9038

    Бен Биднер сообщил о подделке запросов на стороне сервера (SSRF) в базовой прослойке HTTP, которая недостаточно блокирует пространство IP адреса петлевого интерфейса.

  • CVE-2014-9039

    Момент Бассель, Таной Босе и Бойан Славкович сообщили об уязвимости в процессе сброса пароля: изменение адреса электронной почты не приводит к отмене работоспособности предыдущего сообщения о сбросе пароля.

  • CVE-2015-3438

    Седрик Ван Бокхэйвен сообщил, а Гэри Пендергаст, Майк Адамс и Эндрю Накин из команды безопасности WordPress исправили межсайтовый скриптинг, который позволяет анонимным пользователям компрометировать сайт.

  • CVE-2015-3439

    Якуб Зожек обнаружил очень ограниченный межсайтовый скриптинг, которые может использоваться в качестве части атаки по принципу социальной инженерии.

  • CVE-2015-3440

    Йоуко Пюннёнен обнаружил межсайтовый скриптинг, который может позволить комментаторам компрометировать сайт.