Bulletin d'alerte Debian

DSA-3250-1 wordpress -- Mise à jour de sécurité

Date du rapport :
4 mai 2015
Paquets concernés :
wordpress
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 783347, Bogue 783554.
Dans le dictionnaire CVE du Mitre : CVE-2015-3438, CVE-2015-3439, CVE-2015-3440.
Plus de précisions :

Plusieurs problèmes de sécurité ont été découverts dans Wordpress, un gestionnaire de blog, qui pourraient permettre à des attaquants distants d'envoyer des fichiers avec des noms non valables ou dangereux, de monter des attaques par ingénierie sociale ou de compromettre un site grâce à un script intersite, et d'injecter des commandes SQL.

Plus d'informations sont disponibles dans l'annonce de l'équipe amont aux adresses https://wordpress.org/news/2015/04/wordpress-4-1-2/ et https://wordpress.org/news/2015/04/wordpress-4-2-1/

Pour la distribution oldstable (Wheezy), ces problèmes ont été corrigés dans la version 3.6.1+dfsg-1~deb7u6.

Pour la distribution stable (Jessie), ces problèmes ont été corrigés dans la version 4.1+dfsg-1+deb8u1.

Pour la distribution testing (Stretch), ces problèmes ont été corrigés dans la version 4.2.1+dfsg-1.

Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 4.2.1+dfsg-1.

Nous vous recommandons de mettre à jour vos paquets wordpress.