Cố vấn bảo mật Debian

DSA-3332-1 wordpress -- cập nhật bảo mật

Ngày báo cáo:
11 Th8 2015
Gói chịu tác động:
wordpress
Có thể bị tấn công:
Tham khảo cơ sở dữ liệu bảo mật:
Trong hệ thống báo lỗi Debian: Lỗi 794548, Lỗi 794560.
Trong từ điển CVE của Miter: CVE-2015-2213, CVE-2015-5622, CVE-2015-5730, CVE-2015-5731, CVE-2015-5732, CVE-2015-5734.
Thêm thông tin:

Nhiều lỗ hổng bảo mật đã được tìm thấy trong Wordpress, một bộ máy dành cho blog.

  • CVE-2015-2213

    Lỗi tiêm SQL cho phép kẻ tấn công trên mạng làm hại trang mạng.

  • CVE-2015-5622

    Sức chống đỡ của bộ lọc thẻ shortcodes HTML đã được tăng cường. Phân tích cú pháp hơi chặt hơn, cái này có thể ảnh hưởng đến việc cài đặt của bạn. Đây là phiên bản đã sửa chữa của miếng vá mà nó cần được hoàn nguyên trong DSA 3328-2.

  • CVE-2015-4730

    Tiềm tàng tấn công thời gian side-channel trong các widget.

  • CVE-2015-5731

    Kẻ tấn công có thể khóa các bài gửi mà nó đang được biên soạn.

  • CVE-2015-5732

    Chèn mã độc (XSS) trong tiêu đề widget cho phép kẻ tấn công lấy cắp các thông tin nhạy cảm.

  • CVE-2015-5734

    Sửa một số liên kết gãy trong xem thử các chủ đề cũ.

    Những lỗi trên được tìm ra bởi Marc-Alexandre Montpas của Sucuri, Helen Hou-Sandí của nhóm bảo mật WordPress, Netanel Rubin của Check Point, Ivan Grigorov, Johannes Schmitt của Scrutinizer và Mohamed A. Baset.

Với bản phân phối ổn định (jessie), những lỗi này đã được sửa trong phiên bản 4.1+dfsg-1+deb8u4.

Với bản phân phối chưa ổn định (sid), những lỗi này đã được sửa trong phiên bản 4.2.4+dfsg-1.

Chúng tôi khuyên bạn nên nâng cấp các gói wordpress của mình.